Planen der Dateizugriffsüberwachung
Die Informationen in diesem Thema erläutern die Sicherheitsüberwachungserweiterungen, die unter Windows Server 2012 eingeführt wurden, und neue Überprüfungseinstellungen, die Sie beim Bereitstellen der dynamischen Zugriffssteuerung in Ihrem Unternehmen berücksichtigen sollten. Welche Überprüfungsrichtlinieneinstellungen Sie letztlich bereitstellen, hängt von Ihren Zielen ab. Dazu können die Überprüfung der Einhaltung rechtlicher Bestimmungen, die Überwachung, die forensische Analyse und die Problembehandlung gehören.
Hinweis
Weitere Informationen zum Planen und Bereitstellen einer übergreifenden Sicherheitsüberprüfungsstrategie für Ihr Unternehmen erhalten Sie unter Planen und Bereitstellen von erweiterten Sicherheitsüberwachungsrichtlinien. Weitere Informationen zum Konfigurieren und Bereitstellen einer Sicherheitsüberwachungsrichtlinie finden Sie unter Schrittweise Anleitung für die erweiterte Sicherheitsüberwachungsrichtlinie.
Die folgenden Sicherheitsüberprüfungsfunktionen unter Windows Server 2012 können mit der dynamischen Zugriffssteuerung verwendet werden, um die übergreifende Sicherheitsüberprüfungsstrategie zu erweitern.
Ausdrucksbasierte Überwachungsrichtlinien Mit der dynamischen Zugriffssteuerung können Sie gezielte Überprüfungsrichtlinien mithilfe von Ausdrücken erstellen, die auf Benutzer-, Computer- und Ressourcenansprüchen basieren. Sie können beispielsweise eine Überwachungsrichtlinie erstellen, um alle Lese- und Schreibvorgänge für Dateien zu überwachen, die von Mitarbeitern ohne Hochsicherheitsberechtigung als besonders wichtig für das Geschäft klassifiziert wurden. Ausdrucksbasierte Überwachungsrichtlinien können direkt für eine Datei oder einen Ordner oder zentral durch eine Gruppenrichtlinie erstellt werden. Weitere Informationen finden Sie im Thema zu Gruppenrichtlinien mit globaler Objektzugriffsüberwachung.
Zusätzliche Informationen aus der Objektzugriffsüberwachung. Die Dateizugriffsüberwachung ist in Windows Server 2012 nicht neu. Mit der entsprechenden Überwachungsrichtlinie generieren die Windows- und Windows Server-Betriebssysteme jedes Mal, wenn ein Benutzer auf eine Datei zugreift, ein Überwachungsereignis. Vorhandene Dateizugriffsereignisse (4656, 4663) enthaltenen Informationen zu den Attributen der Datei, auf die zugegriffen wurde. Diese Informationen können von Tools für die Ereignisprotokollfilterung verwendet werden, um Ihnen bei der Identifizierung der wichtigsten Überwachungsereignisse zu helfen. Weitere Informationen finden Sie im Thema zur Handleänderungsüberwachung und zum Sicherheitskonten-Manager für die Überwachung.
Weitere Informationen aus Benutzeranmeldeereignissen. Mit der entsprechenden Überwachungsrichtlinie generieren die Windows-Betriebssysteme jedes Mal, wenn sich ein Benutzer lokal oder remote an einem Computer anmeldet, ein Überwachungsereignis. Unter Windows Server 2012 oder Windows 8 können Sie auch Benutzer- und Geräteansprüche überwachen, die dem Sicherheitstoken eines Benutzers zugeordnet sind. Dazu gehören beispielsweise %%amp;quot;Abteilung%%amp;quot;, %%amp;quot;Unternehmen%%amp;quot;, %%amp;quot;Projekt%%amp;quot; und Sicherheitsfreigaben. Ereignis 4626 enthält Informationen zu diesen Benutzer- und Geräteansprüchen, die von Tools für die Überwachungsprotokollverwaltung genutzt werden, um Benutzeranmeldeereignisse mit Objektzugriffsereignissen in Verbindung zu bringen, um die Ereignisfilterung basierend auf Dateiattributen und Benutzerattributen zu ermöglichen. Weitere Informationen zur Benutzeranmeldeüberwachung finden Sie im Thema zur Überwachung der Anmeldung.
Änderungsnachverfolgung für neue Typen von sicherungsfähigen Objekten. Das Nachverfolgen von Änderungen an sicherungsfähigen Objekten kann in den folgenden Szenarios wichtig sein:
Änderungsnachverfolgung für zentrale Zugriffsrichtlinien und zentrale Zugriffsregeln. Zentrale Zugriffsrichtlinien und zentrale Zugriffsregeln definieren die zentrale Richtlinie, die zum Steuern des Zugriffs auf kritische Ressourcen verwendet werden kann. Alle Änderungen an diesen Richtlinien können sich direkt auf die Dateizugriffsberechtigungen auswirken, die Benutzern auf mehreren Computern gewährt werden. Daher kann das Nachverfolgen von Änderungen an zentralen Zugriffsrichtlinien und zentralen Zugriffsregeln wichtig für Ihre Organisation sein. Da zentrale Zugriffsrichtlinien und zentrale Zugriffsregeln in Active Directory-Domänendienste (AD DS) gespeichert werden, können Sie Änderungsversuche überwachen, wie Sie auch Änderungen an anderen sicherungsfähigen Objekten in AD DS überwachen. Weitere Informationen finden Sie im Thema zum Überwachen des Zugriffs auf Verzeichnisdienste.
Änderungsnachverfolgung für Definitionen im Anspruchswörterbuch. Anspruchsdefinitionen umfassen den Anspruchsnamen, die Beschreibung und mögliche Werte. Alle Änderungen an der Anspruchsdefinition können sich auf die Zugriffsberechtigungen für kritische Ressourcen auswirken. Daher kann das Nachverfolgen von Änderungen an Anspruchsdefinitionen wichtig für Ihre Organisation sein. Wie zentrale Zugriffsrichtlinien und zentrale Zugriffsregeln werden auch Anspruchsdefinitionen in AD DS gespeichert. Daher können sie wie alle anderen sicherungsfähigen Objekte in AD DS überwacht werden. Weitere Informationen finden Sie im Thema zum Überwachen des Zugriffs auf Verzeichnisdienste.
Änderungsnachverfolgung für Dateiattribute. Dateiattribute bestimmen, welche zentrale Zugriffsregel für die Datei gilt. Eine Änderung an den Dateiattributen kann sich potenziell auf die Zugriffsbeschränkungen der Datei auswirken. Daher kann es wichtig sein, Änderungen an Dateiattributen nachzuverfolgen. Sie können Änderungen an Dateiattributen auf jedem beliebigen Computer durch Konfigurieren der Überwachung der Autorisierungsrichtlinienänderung nachverfolgen. Weitere Informationen finden Sie im Thema zum Überwachen der Autorisierungsrichtlinienänderung und zur Objektzugriffsüberwachung für Dateisysteme. Unter Windows Server 2012 unterscheidet das Ereignis 4911 die Änderung von Richtlinien für Dateiattribute von anderen Ereignissen zur Änderung von Autorisierungsrichtlinien.
Änderungsnachverfolgung für die einer Datei zugeordnete zentrale Zugriffsrichtlinie Ereignis 4913 zeigt die Sicherheits-IDs (SIDs) der alten und neuen zentralen Zugriffsrichtlinien an. Jede zentrale Zugriffsrichtlinie verfügt außerdem über einen Anzeigenamen, der mithilfe dieser Sicherheits-ID gesucht werden kann. Weitere Informationen finden Sie im Thema zum Überwachen der Autorisierungsrichtlinienänderung.
Änderungsnachverfolgung für Benutzer- und Computerattribute. Wie Dateien können auch Benutzer- und Computerobjekte Attribute aufweisen. Änderungen an diesen Attributen können sich auf den Zugriff auf Dateien durch den Benutzer auswirken. Daher kann es sinnvoll sein, Änderungen an Benutzer- oder Computerattributen nachzuverfolgen. Benutzer- und Computerobjekte werden in AD DS gespeichert. Daher können Änderungen an ihren Attributen überwacht werden. Weitere Informationen finden Sie im Thema zum DS-Zugriff.
Richtlinienänderungsbereitstellung. Änderungen an zentralen Zugriffsrichtlinien können sich auf die Zugriffssteuerungsentscheidungen auf allen Computern, auf denen die Richtlinien durchgesetzt werden, auswirken. Eine unzureichende Richtlinie könnte mehr Zugriff als gewünscht gewähren, und eine zu restriktive Richtlinie könnte eine große Anzahl an Helpdeskanrufen generieren. Es kann also äußerst sinnvoll sein, Änderungen an einer zentralen Zugriffsrichtlinie zu überprüfen, bevor die Änderung erzwungen wird. Zu diesem Zweck wurde in Windows Server 2012 das Konzept des „Stagings“ eingeführt. Staging ermöglicht es Benutzern, ihre vorgeschlagenen Richtlinienänderungen zu überprüfen, ehe sie sie erzwingen. Zum Verwenden der Richtlinienbereitstellung werden vorgeschlagene Richtlinien mit den erzwungenen Richtlinien bereitgestellt. Bereitgestellte Richtlinien gewähren oder verweigern aber keine Berechtigungen. Stattdessen protokolliert Windows Server 2012 jedes Mal ein Überwachungsereignis (4818), wenn sich das Ergebnis der Zugriffsprüfung, bei der die Stagingrichtlinie verwendet wird, von dem Ergebnis einer Zugriffsprüfung unterscheidet, bei der die erzwungene Richtlinie verwendet wird.