27. Oktober 2022 
Marc Wilhelmi 

File­Audit in neuer Version 6.4 verfügbar

Vor einigen Tagen ist die neue Version 6.4 der Windows-Audit-Soft­ware File­Audit aus dem Beta-Status entlassen worden und kann jetzt produktiv einge­setzt werden. Dieser Artikel bietet eine kurze Zusam­men­fas­sung der wich­tigsten Aspekte von File­Audit und zeigt anhand unserer Erfah­rungen, wie dieses Tool einge­setzt werden kann. File­Audit über­wacht, doku­men­tiert und warnt vor dem Zugriff auf vertrau­liche Dateien und Ordner, die auf Windows-Servern und im Cloud Storage gespei­chert sind.

Haupt­funk­tionen sind dabei:

  • Über­wa­chung von Ordnern und Dateien
  • Alar­mie­rung und auto­ma­ti­sche Reaktionen
  • Audi­tie­rung von Zugriffen auf Dateien und Ordnern
  • Repor­ting von NTFS-Rechten
  • Moni­to­ring von Cloud-Daten

Windows stellt von sich aus nur einge­schränkte Möglich­keiten zur Über­wa­chung von Zugriffen auf File­server zur Verfü­gung und kann nur NTFS-Berech­ti­gungen zur Steue­rung der Zugriffe verwenden. Hier setzt File­Audit als Erstes an und liefert umfang­reiche Möglich­keiten, die Zugriffe zu proto­kol­lieren oder zu steuern. So können z. B. für beson­ders sensi­tive Order wie Personal oder Geschäfts­lei­tung zusätz­lich zu den NTFS-Berech­ti­gungen User oder Gruppen im File­Audit defi­niert werden, die Zugriff auf diese Ordner haben sollen. Greifen dann trotzdem andere User auf diese sensi­blen Daten zu, weil z. B. bei der NTFS-Vergabe Fehler gemacht wurden oder Admi­nis­tra­toren sich uner­laubt Zugriff gewährt haben, kann File­Audit die Zugriffe proto­kol­lieren, Warnungen verschi­cken oder den Zugriff direkt unter­binden. Für sensible Daten wird damit ein zweiter Faktor geschaffen, der Unter­neh­mens­daten zusätz­lich sichert und auch noch die weiteren Anfor­de­rungen erfüllt, die die DSGVO an beson­ders schüt­zens­werte Daten stellt.

Was leistet die Windows-Audit-Soft­ware FileAudit? 

Unter­stüt­zendes Werk­zeug bei Ransom­ware Angriffen

Aber auch bei Sicher­heits­vor­fällen wie Ransom­ware-Angriffen kann File­Audit unter­stützen, indem aus den Proto­kollen ausge­lesen werden kann, ob Daten unbe­rech­tigt abge­flossen sind. Eine derar­tige Proto­kol­lie­rung ist in der Einschät­zung von Sicher­heits- und Daten­schutz­vor­fällen extrem hilf­reich, denn auf diese Weise kann z. B. belegt werden, dass keine perso­nen­be­zo­genen Daten abge­flossen sind und somit die Meldung eines Vorfalls bei den Daten­schutz­be­hörden unter­bleiben kann. Aber genauso gibt es dem Unter­nehmen Sicher­heit, ob eigene Daten gestohlen wurden.

 

Die Auswir­kungen von Ransom­ware-Angriffen kann File­Audit mit einer weiteren Funk­tion wirksam begrenzen. So werden Zugriffs­muster über­wacht und bei verdäch­tigen Zugriffen Alarme ausge­löst oder direkt Aktionen ausgeführt.

Bei Verschlüs­se­lungs­tro­ja­nern gibt es das typi­sche Muster, dass sehr viele Dateien geöffnet, geschrieben und gelöscht werden. Dieses Muster kann File­Audit erkennen und direkt Gegen­maß­nahmen einleiten, wie Sper­rung des Share für den verdäch­tigen User, Shut­down des File­ser­vers und Alar­mie­rung der IT oder Geschäfts­lei­tung. Zwar ist das Kind dann schon ziem­lich tief im Brunnen, wenn eine Ransom­ware anfängt zu verschlüs­seln, aber dadurch kann zumin­dest dieser letzte, fatale Schritt eines Angriffs gestoppt oder abge­mil­dert werden.

 

 

Das NTFS-Repor­ting ist ein nütz­li­ches Instru­ment, um tägliche Admi­nis­tra­ti­ons­auf­gaben oder Über­prü­fungen durch intern oder externe Audi­toren zu erleich­tern. Dies ermög­licht die schnelle Erstel­lung von Reports, die den aktu­ellen Zustand darstellen oder auch Ände­rungen in der Vergan­gen­heit aufzeigen. Es ist wichtig, dass solche Über­prü­fungen der Zugriffs­struk­turen regel­mäßig durch­ge­führt werden, da in den meisten Umge­bungen die Rechte häufig ange­passt werden und dadurch das Risiko besteht, dass User mit der Zeit zu viele Rechte erhalten. Hier schafft File­Audit einen schnellen Über­blick, dass die wirk­samen Berech­ti­gungen auch den geplanten Berech­ti­gungen entsprechen.

 

Die in 6.4 verbes­serte Möglich­keit des NTFS-Reportings zeigt Ände­rungen trans­pa­rent an, vergleicht den alten und den neuen Zustand und kann bei jeder Ände­rung einen Alarm verschi­cken. Damit wird dieses Feature deut­lich komfor­ta­bler als bisher, die Snapshots der Berech­ti­gungen können aber auch weiterhin genutzt werden, um den Zustand zu defi­nierten Zeit­punkten zu dokumentieren.

NTFS-Repor­ting erleich­tert Routinetätigkeiten

File­Audit Einsatz bei integrate-it

Wir schätzen File­Audit als sehr nütz­li­ches Tool und haben es daher nicht nur für unser eigenes Rechen­zen­trum, sondern auch in unsere Managed Secu­rity Pakete inte­griert. Dort leistet es in mehr­fa­cher Sicht wich­tige Arbeit bei der Erken­nung und Abwehr von Ransom­ware-Angriffen. Der erste Einsatz erfolgt zur Früh­erken­nung von Kompro­mit­tie­rungen, indem wich­tige Ordner über­wacht werden.

 

Ein Angreifer könnte sich nun als Admi­nis­trator im Active Direc­tory anmelden und auf diese Ordner zugreifen. File­Audit erkennt solche unbe­rech­tigten Zugriffe und kann einen „stillen“ Alarm auslösen, damit der Angreifer nicht aufge­schreckt wird. Durch diese Maßnahme kann die IT den Vorfall unter­su­chen, den Angreifer iden­ti­fi­zieren und ange­mes­sene Gegen­maß­nahmen ergreifen. Genauso kann der Alarm auch mit einer direkten Zugriffs­sperre kombi­niert werden, um direkt den Abfluss von Daten zu verhindern.

 

Als zweite Vertei­di­gungs­linie kann die Über­wa­chung von Zugriffs­mus­tern oder das Auftreten bekannter Ransom­ware-Datei­endungen dienen, um einen Verschlüs­se­lungs­an­griff im Keim zu ersticken.

 

Sollten Sie File­Audit gerne testen oder einsetzen wollen, unter­stützen wir Sie selbst­ver­ständ­lich oder können Sie zu unseren Managed Secu­rity Paketen beraten, die neben File­Audit viele weitere Bausteine zur Absi­che­rung Ihres Netzes beinhalten.

Sie möchten weitere Infor­ma­tionen zum Thema File­Audit? Wir stehen Ihnen selbst­ver­ständ­lich mit Rat und Tat zu Seite. Nehmen Sie Kontakt mit uns auf. Marc Wilhelmi, Tel. 030.467 83 97–0