Um unberechtigte Zugriffsversuche (einschließlich erfolgreicher Versuche) auf die Endgeräte rechtzeitig zu erkennen und entsprechende Maßnahmen ergreifen zu können, empfiehlt sich der Einsatz von Sicherheitsaudits.
Dafür:
gehen Sie zu Systemsteuerung → Verwaltung → Lokale Sicherheitsrichtlinie → Erweiterte Audit-Richtlinienkonfiguration → Zugriff auf Objekte → Dateisystem-Audit. Aktivieren Sie die Prüfung des Dateisystems.
aktivieren Sie als nächstes die Prüfung für den gewünschten Ordner:
Öffnen Sie die Eigenschaften des gemeinsamen Ordners → Registerkarte Sicherheit → Erweitert → Registerkarte Audit → Bearbeiten → Hinzufügen;
Geben Sie die Benutzer an, für die Sie ein Audit durchführen möchten. Stellen Sie „Alle“ ein, Anwendungsebene – für diesen Ordner und seine Unterordner und Dateien;
Geben Sie die Aktionen an, die geprüft werden sollen: Dateien/Daten schreiben, Ordner/Daten schreiben, Unterordner und Dateien löschen und Löschen. Wählen Sie für alle Aktionen sowohl alle Audits aus.
Anschließend werden Zugriffsereignisse auf Dateien und Ordner im Sicherheitsereignisprotokoll angezeigt.
Wenn auf einem System mit bereits konfigurierter Prüfung das Antivirenprogramm Änderungen im Dateisystem auslöst, merken Sie sich unbedingt den Zeitpunkt der Aktivierung und vergleichen Sie ihn mit den Ereignissen im Sicherheitsprotokoll.
Die Codes für die Sicherheitsereignisse finden Sie auf der offiziellen Microsoft-Website.
