Dateizugriff
Die Kategorie Audit Object Access (Objektzugriffsversuche überwachen) ermöglicht die Verfolgung aller Arten von Zugriffen auf Dateien, Ordner und viele andere Objekte wie Drucker und Registry-Unterschlüssel. Die Aktivierung dieser Kategorie wird anfangs in beschränktem Umfang Sicherheitsereignisse generieren, die mit SAM-Pflege verbunden sind. Ab dem Zeitpunkt, zu dem diese Überwachungskategorie aktiv ist, sind einige Objektzugriffsereignisse im Sicherheitsprotokoll zu sehen, obwohl die Überwachung von Objekten nicht ausdrücklich aktiviert wurde. Damit sich aber Dateien oder Ordner explizit überwachen lassen, sind die jeweiligen Objekte zunächst im Windows Explorer zu suchen und dann das jeweils zu ihnen gehörige Eigenschaftenfenster über das Kontextmenü zu öffnen. Dort wird die Registerkarte Sicherheit ausgewählt und auf die Schaltfläche „Erweitert“ geklickt. Im Fenster „Erweiterte Sicherheitseinstellungen für %Datei/Ordnername%“ wird die Registerkarte „Überwachung“ aufgerufen (Bild 5). Anfangs ist die Liste der Überwachungseinträge leer. Nun wird zunächst auf die Schaltfläche „Hinzufügen“ und im Fenster „Benutzer oder Gruppe wählen“ auf die Schaltfläche „Erweitert“ geklickt, um die notwendigen Daten auszuwählen. Als Erstes sind dort die „Objekttypen“ einzustellen, und zwar, ob es sich um einen Benutzer, eine Gruppe, einen Computer oder um einen integrierten Sicherheitsprinzipal handelt. Dazu ist das jeweilige Häkchen zu setzen oder zu entfernen und abschließend mit OK zu quittieren. Als Nächstes folgt die Einstellung des Suchpfads, dann mit „Jetzt suchen“ die Anzeige der Objekte, die zu den vorher eingestellten Objekttypen gehören in der unteren Liste „Suchergebnisse:“ und zuletzt die Auswahl des Objekts aus dieser Liste, für das die Sicherheitseinstellung gelten soll (Bild 6). Diese Auswahl wird zweimal mit OK quittiert, und anschließend folgt im nächsten Fenster die Vergabe der Überwachungseinträge (Erfolgreich/Fehlgeschlagen) per Häkchen für den jeweiligen Zugriff. Auch hier ist wieder mit OK zu quittieren woraufhin sich das Objekt in der Liste der Überwachungseinträge befindet. Je Eintragsvorgang ist aber nur eine Auswahl (aus der Liste der Suchergebnisse) möglich, da sich die jeweils zu überwachenden Zugriffe ja unterscheiden könnten. Es lässt sich jede Kombination von Benutzern oder Gruppen hinzufügen, empfehlenswert ist es jedoch „Alles“ zu überwachen (das Markieren von sowohl Erfolgreich als auch Fehlgeschlagen führt zur Anzeige Alles im Typ der Überwachungseinträge).