NTFS-Auditing: Zugriff auf Dateien und Verzeichnisse überwachen

    Filesystem AuditingWindows bietet auf NTFS-Lauf­werken die Möglich­keit, Zugriffe auf sen­sible Daten durch bestimmte Benutzer zu proto­kol­lieren. Dieses Features erfordert drei Aktivi­täten: Das Akti­vieren durch Gruppen­richt­linien, das Defi­nieren von SACL für die gewün­schten Objekte und das Auswerten des Security-Eventlogs.

    Grundsätzlich sollten Administratoren durch Vergabe der passenden Berechtigungen dafür sorgen, dass nur befugte Benutzer auf Verzeichnisse und Dateien zugreifen können. Die Kombination aus NTFS- und Freigaberechten macht diese Aufgabe nicht ganz einfach, aber eine Reihe von Tools wie etwa der NTFS Permissions Reporter helfen dabei, die Übersicht zu behalten.

    Kontrolle über sensible Informationen

    Dennoch können bestimmte Arbeitsabläufe oder die Kooperation in Projekten erfordern, dass ein größerer Personenkreis Zugriff auf vertrauliche Dokumente erhalten muss. Zudem haben privilegierte Benutzer die Möglichkeit, sich selbst weitgehende Rechte einzuräumen und so Einblick in Daten zu erlangen, die nicht für sie bestimmt sind.

    In diesen Fällen kann es wichtig sein, dass Unternehmen die Zugriffe auf sensible Dateien protokollieren, um festzustellen, wer wann ein bestimmtes Dokument gelesen oder gelöscht hat. Windows bietet mit dem Auditing von NTFS-Objekten genau diese Möglichkeit, und zwar sowohl auf dem Server als auch der Workstation.

    Auditing über GPO aktivieren

    Der erste Schritt besteht darin, dass man dieses Feature auf den betreffenden Rechnern erst freischaltet. Dies erfolgt über Gruppenricht­linien, wobei man das entsprechende GPO den OUs zuordnet, in denen sich die zu überwachenden Server befinden.

    Im ersten Schritt aktiviert man das Auditing auf den vorgesehenen PCs per Gruppenrichtlinien.

    Zuständig ist dafür die Einstellung Dateisystem überwachen unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Erweiterte Überwachungs­richtlinien­konfiguration => Überwachungs­richtlinien => Objektzugriff.

    Ihre Konfiguration erfordert die Auswahl zwischen Erfolg und Fehler. Im ersten Fall werden nur Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte, während die zweite Option nur dann greift, wenn die Aktion gescheitert ist.

    Protokollierung für Verzeichnisse und Dateien einrichten

    Nachdem das GPO auf den Zielrechnern wirksam ist (etwa durch Ausführung von gpupdate), kann man dort die System Access Control List (SACL) für NTFS-Objekte einrichten. Zu diesem Zweck öffnet man im Windows Explorer die Eigenschaften eines Verzeichnisses oder einer Datei, wechselt im folgenden Dialog zur Registerkarte Sicherheit und klickt dort auf Erweitert. Im nächsten Dialog schließlich navigiert man zum Reiter Überwachung.

    Das Auditing findet sich in den Sicherheitseinstellungen von Dateien und Verzeichnissen unter dem Reiter Überwachung.

    Dort informiert eine Meldung darüber, dass man für die folgende Aktion entweder Administrator sein muss oder über das Recht verfügen muss, SACLs für Objekte zu definieren. Diese Berechtigung kann man normalen Benutzern bei Bedarf über Gruppenrichtlinien erteilen. Die Einstellung heißt Verwalten von Überwachungs- und Sicherheitsprotokollen. Sie findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten.

    Standardmäßig dürfen nur Admins das Auditing einrichten, aber dieses Recht lässt sich auch an andere User vergeben.

    Nach Bestätigung des Weiter-Buttons kann man nun die Bedingungen für die Überwachung festlegen, indem man über die Schaltfläche Hinzufügen neue Einträge erstellt. Im ersten Schritt folgt man dem Link Prinzipale auswählen und legt dort fest, wessen Aktivitäten (User oder Gruppen) aufgezeichnet werden sollen.

    Benutzer und Gültigkeitsbereich festlegen

    Danach entscheidet man, ob nur erfolgreiche, fehlgeschlagene oder alle Aktivitäten mitschneiden will, wobei diese Auswahl sinnvollerweise mit der Konfiguration im ersten GPO übereinstimmen soll. Bei Verzeichnissen hat man in diesem Abschnitt schließlich noch die Möglichkeit, den Gültigkeitsbereich des SACL anzugeben. Zur Auswahl stehen 7 Varianten, die von Nur diesen Ordner bis Diesen Ordner, Unterordner und Dateien reichen.

    Diese 7 Optionen bestimmen den Gültigkeitsbereich der Überwachung, aber nicht die Vererbung der Einträge.

    Mit diesen Optionen aus dem Dropdown-Menü Anwenden auf steuert man nicht die Vererbung des SACL, auch wenn es auf den ersten Blick so aussehen mag. Vielmehr wird der gewählte Gültigkeitsbereich an die Verzeichnisse unterhalb weitergegeben. Entscheidet man sich beispielsweise für Diesen Ordner, Dateien, dann wirkt sich dieser Überwachungseintrag in den Unterverzeichnissen nur mehr auf Dateien aus.

    Protokollierung auf bestimmte Aktionen einschränken

    Etwas verwirrend ist der mittlere Abschnitt dieses Dialogs, der mit Grundlegende Berechtigungen überschrieben ist. Hier geht es nicht darum, irgendwelche Rechte zu verwalten, vielmehr bestimmt man an dieser Stelle, welche Art von Zugriffen aufgezeichnet wird.

    So würde etwa die Auswahl von Lesen, Ausführen und Ordnerinhalt anzeigen ebendiese Aktionen protokollieren, aber nicht, wenn ein Benutzer eine Datei im überwachten Verzeichnis editiert. Vollzugriff würde indes dafür sorgen, dass Windows sämtliche Aktivitäten in Bezug auf diese NTFS-Objekte mitschreibt.

    Vererbung von Überwachungseinträgen

    Aktiviert man das Auditing für ein Verzeichnis, dann werden sämtliche dort hinzugefügten Überwachungs­einträge automatisch an alle Unterverzeichnisse vererbt. Öffnet man die Sicherheits­einstellungen in einem dieser ungeordneten Objekte, dann sieht man in der Spalte Geerbt von, wo im übergeordneten Verzeichnis­baum der betreffende Eintrag definiert wurde.

    Die Vererbung lässt sich für jeden Überwachungseintrag separat begrenzen.

    Möchte man vermeiden, dass die Überwachung auf alle Unterverzeichnisse ausgeweitet wird, dann kann man für jeden Eintrag separat festlegen, dass er nur für den Ordner selbst und die darin enthaltenen Objekte gilt. Unterverzeichnisse der ersten Ebene sind davon ebenfalls noch betroffen, aber nicht mehr ihre Inhalte.

    In Verzeichnissen, die Überwachungs­einstellungen von oberhalb vererbt bekommen, kann man über einen den Button Vererbung deaktivieren dafür sorgen, dass keiner der Einträge nach unten durchgereicht wird.

    Protokollierte Zugriffe auswerten

    Sobald das Auditing für bestimmte NTFS-Objekte aktiv ist, beginnt Windows damit, alle ausgewählten Aktivitäten im Eventlog Sicherheit mitzuschreiben. Abhängig davon, wie viele Verzeichnisse und Dateien von der Überwachung betroffen sind und welche Art von Zugriffen mitgeschnitten wird, können dabei erhebliche Datenmengen entstehen.

    Aus diesem Grund ist es ratsam, das erwartete Volumen abzuschätzen und das Fassungsvermögen der Protokolldatei zu vergrößern, weil der niedrig angesetzte Vorgabewert von 20MB dann wahrscheinlich nicht reichen wird. Überwacht man NTFS-Objekte auf mehreren Rechnern, dann wird es sich als vorteilhaft erweisen, wenn man ihre Log-Einträge an eine Maschine weiterleitet und dort analysiert.

    Mit einem entsprechenden Filter kann man die Einträge zum NTFS-Auditing extrahieren.

    Greift man für die Auswertung auf die Ereignisanzeige zurück und möchte die Einträge für das NTFS-Auditing ausfiltern, dann wählt man als Quelle Microsoft Windows security auditing und als Aufgabenkategorie Dateisystem aus. Je nachdem, ob man erfolgreiche oder fehlgeschlagene Zugriffe protokolliert, kann man zusätzlich als Schlüsselwort Überwachung erfolgreich oder Überwachung gescheitert hinzunehmen.

    Eine äquivalente Abfrage in PowerShell könnte mit Get-Eventlog so aussehen:

    Get-EventLog -LogName Security -Source "*auditing*" -EntryType FailureAudit -Newest 50

    2 Kommentare

    Bild von PB
    PB sagt:
    3. September 2015 - 21:06

    Gibt es Empfehlungen für ein Tool, das die Logs angemessen aufbereiten und auswerten kann?

    Bild von Michael Beck
    Michael Beck sagt:
    7. September 2015 - 7:54

    Hallo PB,
    versuch es mal mit http://www.eventsentry.com/. Da gibt es auch eine kostenlose "Light" Version. Ich könnte mir das als optimale Ergänzung zu diesem HowTo vorstellen.