Sicherer Computer

Mit Forensik PC-Einbrecher erkennen und aussperren

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Benutzer in Arbeitsgruppen überwachen

Sie haben in Windows die Möglichkeit, Benutzer zu überwachen, ohne dass die Arbeitsstationen an eine Domäne angebunden sind. Sobald Sie die Überwachung aktivieren, sehen Sie, wann sich Benutzer anmelden und auf Objekte zugreifen. Das funktioniert auch auf lokalen Rechnern. Die Daten werden in die Ereignisanzeige geschrieben und lassen sich an dieser Stelle auch auslesen. Dazu gehen Sie folgendermaßen vor:

1. Öffnen Sie über die Startseite das Fenster Lokale Sicherheitsrichtlinie (secpol.msc).

2. Navigieren Sie zu Lokale Richtlinien/Überwachungsrichtlinie. An dieser Stelle können Sie Einstellungen vornehmen.

3. Für jeden Punkt können Sie erfolgreich durchgeführte Aktionen überwachen lassen, ebenso Aktionen, die der Anwender versucht, das System aber verweigert hat.

In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.
In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.

Wichtig bei der Überwachung sind die Anmeldungen. Dazu aktivieren Sie die Richtlinie Anmeldeereignisse überwachen. Nach Aktivierung der Überwachung finden Sie die entsprechenden Informationen in der Ereignisanzeige über Windows-Protokolle/Sicherheit.

Lassen Sie Objektzugriffsversuche überwachen, besteht auch die Möglichkeit, den Zugriff auf Dateien inklusive der Änderungen nachzuverfolgen. Nachdem Sie die Überwachung aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Ordner aktivieren. Dazu sind die Eigenschaften des Ordners und die Registerkarte Sicherheit wichtig.

Über die Schaltfläche Erweitert erscheint die Registerkarte Überwachung. Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung. An dieser Stelle müssen die zu überwachenden Benutzer oder Gruppe ausgewählt werden. Nach der Aktivierung der Überwachung sind die entsprechenden Ereignisse in der Ereignisanzeige zu sehen. Die Meldung enthält Informationen, über welches Recht der Benutzer verfügt, auf welchen Ordner er zugegriffen hat und welche Aktion durchgeführt wurde.

Sie können Objektzugriffe von Anwendern überwachen.
Sie können Objektzugriffe von Anwendern überwachen.

Öffnen Sie dazu die Eigenschaften des Objekts, und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen Windows protokolliert. Über Bearbeiten legen Sie fest, welche Gruppen/Benutzer das System überwachen soll. Nachdem Sie Hinzufügen gewählt haben, können Sie über den Link Prinzipal auswählen den zu überwachenden Benutzer auswählen. Bestimmen Sie anschließend im Feld Anwenden auf aus, welche Zugriffe Windows protokollieren soll.

Die Anzeige der Protokollierung erfolgt in der Ereignisanzeige. Diese starten Sie am schnellsten durch Aufruf von eventvwr auf der Startseite. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Protokoll Sicherheit unterhalb des Knotens Windows-Protokolle. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, ein Schloss steht für fehlgeschlagene Zugriffe. Genauere Informationen zu einem Eintrag erhalten Sie angezeigt, indem Sie diesen öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.

Mit der erweiterten Funktion in Windows 8.1 können Sie Rechner umfassend überwachen.
Mit der erweiterten Funktion in Windows 8.1 können Sie Rechner umfassend überwachen.

Neben den herkömmlichen Überwachungseinstellungen lassen sich mit Windows 8.1 noch weitere Maßnahmen treffen, um das eigene Netzwerk effizient zu schützen und zu überwachen. Generell ist es empfehlenswert, die klassische Überwachung und die neue Überwachung nicht parallel zu verwenden, sondern sich entweder für die Basisüberwachung oder für die erweiterte Überwachung zu entscheiden. Die erweiterte Überwachung bietet eine Untergliederung in neun Unterbereiche an. Die erweiterten Einstellungen sind über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration zu finden.

Der Vorteil der neuen Überwachungsfunktionen besteht in der spezifischeren Aufgliederung der überwachten Ereignisse.

Zur Startseite