Datei- und Ordnerzugriffe überwachen
 | Die Größe des Windows-Protokolls wächst mit jedem Protokolleintrag an. Beachten Sie die freie Festplattenkapazität. |
Datei- und Ordnerzugriffe können in Windows protokolliert werden. Jedes Mal, wenn ein Benutzer auf die ausgewählten Dateien oder Ordner zugreift, wird ein sogenanntes Überwachungsereignis in das Windows-Protokoll eingetragen.
Überwachungsrichtlinie für Datei- und Ordnerzugriffe anlegen:
- 1. Rufen Sie den Ausführen-Dialog über die Tastenkombination [Windows-Taste] + [R] auf und geben Sie secpol.msc ein.
Das Fenster Local Security Policy erscheint.
- 2. Klicken Sie links im Strukturbaum auf Local Policies > Audit Policy und wählen Sie die Überwachungsrichtlinie Audit object access.
- 3. Aktivieren Sie die Option Failure, wenn Sie nur erfolglose Zugriffe protokolieren möchten. Aktivieren Sie zusätzlich die Option Success, wenn Sie auch die erfolgreichen Zugriffe protokolieren möchten.
- 4. Klicken Sie mit der rechten Maustaste auf die entsprechende Datei oder den Ordner und anschließend auf Properties.
- 5. Klicken Sie auf die Registerkarte Security und anschließend auf Advanced.
- 6. Wählen Sie die Registerkarte Auditing, klicken Sie auf Add, um einen neuen Eintrag für die Überwachung anzulegen.
- 7. Um die Überwachung für einen Benutzer oder eine Gruppe einzurichten, geben Sie den Namen des gewünschten Benutzers oder der gewünschten Gruppe ein und wählen Sie dann OK.
- 8. Die protokolierten Einträge sind ab jetzt im Event Viewer einsehbar, den Sie mit [Windows-Taste] + [R] und dem Eintrag eventvwr aufrufen können. Die Einträge können anschließend unter Windows Logs > Security eingesehen werden.