Windows Server 2008 ist eines der beliebtesten Betriebssysteme, die im Geschäftsbereich verwendet werden. Manchmal treten jedoch Situationen auf, in denen eine wichtige Datei gelöscht oder verloren geht, und es ist unklar, wer genau der Verursacher des Vorfalls war. In solchen Fällen können Sie anhand bestimmter Tools und Systemeinstellungen herausfinden, wer die Datei gelöscht hat.
Das Hauptwerkzeug zum Ermitteln der Quelle für das Löschen einer Datei ist das Windows-Sicherheitsprüfungsprotokoll. Wenn die Überwachung zum Löschen von Dateien auf dem Server aktiviert ist, protokolliert das System alle Aktivitäten im Zusammenhang mit dem Löschen von Dateien, einschließlich Informationen zum Benutzer und zum Zeitpunkt des Löschvorgangs. Um die Überwachung zu konfigurieren, öffnen Sie die Systemsteuerung, wählen Sie System und Sicherheit und gehen Sie zu Systemüberwachungsquellen. Wählen Sie hier "Regeln" und dann "Audit-Ereignis erstellen" aus.
Danach müssen Sie eine neue Überwachungsregel erstellen, indem Sie die Option "Systemüberwachung" auswählen. Als nächstes wählen Sie den Ordner oder das Laufwerk aus, auf dem die Datei gespeichert ist, die wir verfolgen möchten. Aktivieren Sie in den Überwachungseinstellungen die Kontrollkästchen "Erfolgreich löschen" und "Fehlgeschlagen löschen", damit das System alle Löschungen von Dateien auf dem ausgewählten Laufwerk protokolliert. Nachdem die Überwachungseinstellungen angewendet wurden, beginnt das System damit, alle Löschungen der Dateien zu protokollieren, und Sie können die Benutzer- und Löschzeitinformationen über das Sicherheitsprüfungsprotokoll anzeigen.
Alle diese Schritte werden in dieser Anleitung ausführlich beschrieben und ermöglichen es Ihnen herauszufinden, wer die Datei unter Windows Server 2008 gelöscht hat.
Ermitteln, wer eine Datei unter Windows Server 2008 gelöscht hat
Das Erstellen eines Berichts darüber, wer eine Datei unter Windows Server 2008 gelöscht hat, kann hilfreich sein, um herauszufinden, wann und wer eine bestimmte Datei gelöscht hat. In Windows Server 2008 können Sie ähnliche Ereignisse verfolgen und Einträge im Ereignisprotokoll erstellen, damit Sie verfolgen können, wer die Datei gelöscht hat.
1. Aktivieren Sie die Dateisystemüberwachung
Bevor Sie das Löschen von Dateien überwachen können, müssen Sie sicherstellen, dass die Dateisystemüberwachung auf Ihrem Server aktiviert ist.
- Öffnen Sie den Server-Manager auf einem Windows Server 2008-Server.
- Wechseln Sie im Navigationsbaum unter "Konfiguration" zur Konfigurationsverwaltung.
- Klicken Sie mit der rechten Maustaste auf Dateisystemüberwachung und wählen Sie Eigenschaften aus.
- Wählen Sie auf der Registerkarte "Richtlinie" die Option "Erfolgreiche Ausführung" und/oder "Fehlgeschlagene Ausführung" für "Löschung verfolgen" aus und klicken Sie auf "OK".
2. Führen Sie "Lokale Gruppenrichtlinie" aus
Um die Dateisystemüberwachung zu konfigurieren, müssen Sie die "Lokale Gruppenrichtlinie" ausführen.
- Öffnen Sie die "Verwaltungskonsole" auf einem Windows Server 2008-Server.
- Geben Sie an der Eingabeaufforderung "mmc" ein, um das Fenster "Management Console" zu öffnen.
- Wählen Sie "Datei" und klicken Sie auf "Datenmanager hinzufügen/entfernen".
- Wählen Sie "Lokale Gruppenrichtlinie" und klicken Sie auf "Hinzufügen >".
- Klicken Sie auf "OK".
3. Konfigurieren Sie die Dateisystemüberwachung
Durch die Konfiguration der Dateisystemüberwachung können Sie Berichte zum Löschen von Dateien auf einem Windows Server 2008-Server erstellen.
- Erweitern Sie in der "Lokalen Gruppenrichtlinie" die Option "Computerkonfiguration", dann "Windows-Einstellungen" und dann "Sicherheitseinstellungen".
- Klicken Sie auf Lokale Richtlinienkonfiguration, dann auf Überwachung und dann auf Objektüberwachung.
- Klicken Sie mit der rechten Maustaste auf "Löschen überwachen" und wählen Sie Eigenschaften aus.
- Aktivieren Sie das Kontrollkästchen "Erfolgreiche Ausführung" und/oder "Fehlgeschlagene Ausführung" für das Benutzerkonto "Benutzer" und "Gruppen" und klicken Sie auf "OK".
4. Überprüfen Sie die Ereignisprotokolle
Ereignisprotokolle enthalten Einträge zum Löschen von Dateien unter Windows Server 2008. Überprüfen Sie diese Protokolle, um festzustellen, wer die Dateien gelöscht hat.
- Öffnen Sie die "Verwaltungskonsole" auf einem Windows Server 2008-Server.
- Erweitern Sie in der Verwaltungskonsole Dienste und Anwendungen, und wählen Sie dann Dienste und dann Ereignisprotokolle aus.
- Wählen Sie Systemprotokoll aus, und überprüfen Sie die Ereignisdatensätze mit dem Typ "Erfolgreiches Löschen" oder "Fehlgeschlagenes Löschen". Hier finden Sie Informationen darüber, wer die Datei gelöscht hat und wann es passiert ist.
Anhand dieser Anweisungen können Sie feststellen, wer die Datei unter Windows Server 2008 gelöscht hat, und die erforderlichen Informationen zum Löschereignis der Datei erhalten.
Aktivieren Sie den Dateisystemüberwachungsmodus
1. Öffnen Sie die Systemsteuerung auf dem Server, wählen Sie System und Sicherheit und dann Verwaltung.
2. Suchen Sie im Abschnitt "Dienste" nach "Aufgabenplaner" und öffnen Sie ihn.
3. Wählen Sie im linken Bereich "Benutzerdefinierte Aufgaben" und doppelklicken Sie dann auf den Ordner, der Ihrer Domäne entspricht.
4. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie Aufgabe erstellen.
5. Geben Sie im angezeigten Fenster einen Namen für die Aufgabe ein, z. B. "Dateisystemüberwachung".
6. Klicken Sie auf die Registerkarte Auslöser und dann auf Neu. Legen Sie die Startoptionen für die Aufgabe nach Ihren Wünschen fest.
7. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu. Wählen Sie die Aktion "Programm starten" aus und geben Sie den Pfad zum Skript oder Programm an, mit dem die Dateiaktivitätsprotokolle aufgezeichnet werden sollen.
8. Klicken Sie auf die Registerkarte Bedingungen und wählen Sie die gewünschten Optionen aus, damit der Task nur unter bestimmten Bedingungen ausgeführt wird (z. B. beim Löschen von Dateien).
9. Klicken Sie auf OK, um die Aufgabe zu speichern.
10. Wählen Sie im linken Bereich Aktive Aufgaben aus, und stellen Sie sicher, dass der Task "Dateisystem überwachen" in der Liste angezeigt wird.
Wenn nun jemand die Dateien auf dem Server löscht, können Sie dies im Dateisystemüberwachungsprotokoll nachvollziehen.
Überprüfen Sie die Ereignisprotokolle
Führen Sie die folgenden Schritte aus, um die Ereignisprotokolle zu überprüfen:
- Öffnen Sie die Systemsteuerung und wählen Sie Verwaltung.
- Suchen Sie im Fenster "Verwaltung" nach Ereignisprotokollen, und wählen Sie sie aus.
- Erweitern Sie den Zweig "Windows-Protokolle", und wählen Sie "Sicherheit".
- Klicken Sie im rechten Fensterbereich mit der rechten Maustaste, und wählen Sie "Aktuelles Protokoll filtern".
Das Fenster "Aktuelles Ereignisprotokoll filtern" wird geöffnet.
- Geben Sie im Feld Ereignis-ID "4660" ein.
- Aktivieren Sie das Kontrollkästchen Datum und Uhrzeit, um den Zeitraum anzugeben, in dem die Datei gelöscht wurde.
- Klicken Sie auf die Schaltfläche OK, um den Filter anzuwenden.
Jetzt sehen Sie eine Liste der Ereignisse im Zusammenhang mit dem Löschen von Dateien. Um eine bestimmte Datei zu finden, können Sie die Suchfunktion im Ereignisprotokoll verwenden.
Die Überprüfung der Ereignisprotokolle hilft Ihnen festzustellen, wer die Datei unter Windows Server 2008 gelöscht hat. Beachten Sie, dass Sie bei Bedarf eine Dateilöschüberwachung einrichten können, um zukünftige Benachrichtigungen über solche Ereignisse zu erhalten.
Verwenden Sie die integrierten Tools zur Ereignisanalyse
Windows Server 2008 bietet leistungsstarke Tools zur Ereignisanalyse, mit denen Sie feststellen können, wer die Datei gelöscht hat.
Eines der wichtigsten Werkzeuge ist der Ereignisviewer. Es ermöglicht Ihnen, Informationen über Ereignisse im System anzuzeigen, einschließlich des Löschens von Dateien.
Führen Sie die folgenden Schritte aus, um die Ereignisanzeige zu öffnen:
- Öffnen Sie die Systemsteuerung und wählen Sie Verwaltung.
- Doppelklicken Sie auf das Symbol "Ereignisanzeige".
Suchen Sie in der Ereignisanzeige das Sicherheitsprotokoll und klicken Sie mit der rechten Maustaste darauf. Wählen Sie dann "Aktuelles Protokoll filtern". ".
Wählen Sie im Filterfenster die Option Titel und geben Sie im Feld Wert die Option Löschen ein. Klicken Sie auf OK, um den Filter anzuwenden.
Jetzt sehen Sie eine Liste der Ereignisse, die mit den gelöschten Dateien verknüpft sind. Analysieren Sie jedes Ereignis, um Informationen darüber zu finden, wer die Datei gelöscht hat.
Beachten Sie die Ereignisattribute wie "Kontoname", "Computername" und "Uhrzeit". Diese Daten helfen Ihnen, den Benutzer zu identifizieren, der die Datei gelöscht hat.
Es ist auch wichtig zu beachten, dass der Ereignisviewer nur Informationen über Ereignisse speichert, die nach dem Öffnen aufgetreten sind. Wenn die Datei vor dem Öffnen des Ereignisbetrachters gelöscht wurde, gehen diese Informationen möglicherweise verloren.
Untersuchen Sie die Dateiattribute und ihre Metadaten
Sie können den Befehl verwenden, um Informationen zu Dateiattributen unter Windows Server 2008 abzurufen dir in der Befehlszeile. Führen Sie beispielsweise den folgenden Befehl aus, um eine Liste der Dateien und deren Attribute im aktuellen Verzeichnis abzurufen:
Dies zeigt eine Liste der Dateien im aktuellen Verzeichnis sowie deren Attribute wie Größe, Erstellungsdatum und Änderungsdatum an.
Datei-Metadaten - dies sind zusätzliche Daten, die die Datei und ihren Inhalt beschreiben. Zu den Metadaten einer Datei gehören Informationen über den Autor, Schlüsselwörter, Bewertungen, Anmerkungen und andere Eigenschaften der Datei, die bei der Verwaltung und Suche der Datei hilfreich sein können.
Um die Metadaten einer Datei unter Windows Server 2008 abzurufen, können Sie die Dateieigenschaftsleiste verwenden. Klicken Sie mit der rechten Maustaste auf die Datei, wählen Sie Eigenschaften und klicken Sie auf die Registerkarte Details. Hier sehen Sie verschiedene Dateimetadaten wie Autor, Schlüsselwörter, Bewertungen usw.
Verwenden Sie zusätzliche Überwachungs- und Analysetools
Wenn Sie den Verdacht haben, dass die Datei aus dem Windows Server 2008-Dienst gelöscht wurde, ist es wichtig, zusätzliche Überwachungs- und Analysetools zu verwenden, um den Eindringling zu identifizieren und das Problem zu beheben. Im Folgenden finden Sie einige Methoden, die Ihnen dabei helfen können.
1. Aktivieren Sie die Dateisystemüberwachung
Die Dateisystemüberwachung bietet die Möglichkeit, Datei- und Ordnervorgänge zu protokollieren, einschließlich des Löschens von Dateien. Um diese Funktion nutzen zu können, müssen Sie die Dateisystemüberwachung aktivieren und angeben, welche Aktionen verfolgt werden sollen. Sie können dann das Audit-Protokoll anzeigen, um zu sehen, wer die Datei gelöscht hat.
2. Verwenden Sie Aktivitätsüberwachungstools
Es gibt verschiedene Tools zur Überwachung der Dateisystemaktivität, mit denen Sie das Löschen einer Datei identifizieren können. Mit diesen Tools können Sie Benutzeraktivitäten verfolgen, indem Sie Informationen über die Datei, die Löschzeit und den Benutzernamen bereitstellen.
3. Siehe das Systemprotokoll für Ereignisse
Das Systemprotokoll enthält Informationen zu den verschiedenen Vorgängen, die auf dem Server ausgeführt werden. Sie können das Protokoll verwenden, um Informationen zum Löschen einer Datei zu finden, einschließlich des Benutzernamens oder zusätzlicher Daten.
Es ist wichtig zu beachten, dass diese Methoden vorkonfiguriert werden müssen und sich je nach Konfiguration Ihres Servers unterscheiden können. Es wird auch empfohlen, sich mit Ihrem Systemadministrator oder einem Sicherheitsexperten zu beraten, um sicherzustellen, dass Sie diese Tools ordnungsgemäß verwenden und vollständig vor Bedrohungen geschützt sind.