# Wie kann ich mit Enginsight Objektzugriffe auf Windows-Systemen  überwachen?

In Windows-Systemen kannst du mit Enginsight Zugriffe auf sensible Dateien und Verzeichnisse mitschneiden und dich alarmieren lassen, wenn etwas Ungewöhnliches passiert. Dazu musst du zunächst die Überwachung von Objektzugriffen über eine lokale oder domänenweite Windows-Gruppenrichtlinie aktivieren und festlegen, welche Ordner oder Dateien überwacht werden sollen.

Im folgenden Artikel zeigen wir dir Schritt für Schritt, welche Einstellungen du auf deinem Windows-System vornehmen musst und wie du die Ergebnisse in Enginsight anzeigen kannst. 

{% hint style="warning" %}
**Bitte beachte**: Aktiviere die Überwachung von Objektzugriffen nur auf Windows-Systemen, auf denen du die Funktion auch wirklich nutzen möchtest. Windows generiert in bestimmten Fällen Events für Ordner, die du nicht zur Überwachung bestimmt hast. Dies kann zu ungewollten Fehlalarmen führen.
{% endhint %}

***

## Einstellungen in Windows

{% hint style="info" %}
Im folgenden Beispiel zeigen wir dir, wie du eine lokale Gruppenrichtlinie aktivierst. Es ist ebenfalls möglich, Objektzugriffe über eine domänenweite Gruppenrichtlinie zu aktivieren.
{% endhint %}

{% stepper %}
{% step %}

### Überwachung von Objektzugriffen in den Gruppenrichtlinien aktivieren

1. Logge dich auf deinem Windows-System ein und öffne den **Editor für lokale Gruppenrichtlinien**.
2. Navigiere zum Verzeichnis **Computerkonfiguration** → **Windows-Einstellungen** → **Sicherheitseinstellungen** → **Lokale Richtlinien** → **Überwachungsrichtlinie**.
3. Öffne die Richtlinie **Objektzugriffsversuche überwachen**.

<figure><img src="/files/CD2LyRt9sag4qNjbiHWm" alt=""><figcaption></figcaption></figure>

4. Es öffnet sich das Fenster **Eigenschaften von Objektzugriffsversuche überwachen** auf dem Tab **Lokale Sicherheitseinstellung**.
5. Setze in die Checkboxen neben **Erfolgreich** und **Fehler** einen Haken.
6. &#x20;Bestätige die Einstellungen mit **OK**.

<div align="left"><figure><img src="/files/9reJFk5w35AUBKikjYFu" alt="" width="371"><figcaption></figcaption></figure></div>

7. Navigiere in die Windows-Eingabeaufforderung (CMD) und aktiviere die Gruppenrichtlinie mit folgendem Befehl:

```
gpupdate /force
```

{% endstep %}

{% step %}

### Dateien und Ordner zur Überwachung festlegen

1. Navigiere zu dem File-Server, auf dem du Objektzugriffe überwachen möchtest.
2. Öffne die **Eigenschaften** des Ordners oder der Datei, die du überwachen möchtest.
3. Wechsle auf den Tab **Sicherheit** und klicke auf **Erweitert**.

<div align="left"><figure><img src="/files/n4OIT2tJZgO5ogVIt9az" alt="" width="323"><figcaption></figcaption></figure></div>

4. Wechsle im Fenster, das sich öffnet, auf den Tab **Überwachung** und klicke auf **Hinzufügen**.
5. Gib im Feld, in dem du Objektnamen hinzufügen kannst, **Jeder** ein.
6. Klicke auf **Erweitert**.

<div align="left"><figure><img src="/files/ei6LqRWE7c1CvEIfciUe" alt="" width="406"><figcaption></figcaption></figure></div>

7. Setze in alle Checkboxen unter **Erweiterte Berechtigungen** einen Haken.
8. Bestätige die Einstellungen mit **OK**.

<figure><img src="/files/AFJD4FkC1vqRoznKjLr6" alt=""><figcaption></figcaption></figure>

9. Markiere den neuen Überwachungseintrag per Klick und setze einen Haken in die Checkbox neben **Alle Überwachungseinträge für untergeordnete Objekte durch vererbbare Überwachungseinträge von diesem Objekt ersetzen**.
10. Klicke auf **OK**, um die Konfiguration abzuschließen.

<figure><img src="/files/N2CLUOTCMClF3YSWtLCs" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

## Objektzugriffe in Enginsight einsehen

Wenn du die Überwachung von Objektzugriffen aktiviert hast, kannst du entsprechende Log-Einträge in der Enginsight Plattform unter **Hosts** → **Systemevents** einsehen.

{% hint style="warning" %}
**Bitte beachte**: Damit hier Werte angezeigt werden können, muss das Logging von Systemereignissen in den Einstellungen der einzelnen Hosts oder unter **Hosts** → **Policies** mit einer entsprechenden Richtlinie aktiviert sein.
{% endhint %}

{% hint style="success" icon="lightbulb-exclamation" %}
Mehr Informationen, wie du in der Enginsight Plattform eine Policy erstellst, findest du im Enginsight Handbuch: [Policy hinzufügen](https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen).
{% endhint %}

{% stepper %}
{% step %}

### In die Systemevents navigieren

Logge dich in der Enginsight Plattform ein und navigiere zu **Hosts** → **Systemevents**.
{% endstep %}

{% step %}

### Systemevents-Liste filtern

Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

Wähle den Filter **Kategorie** aus, um alle verfügbaren Systemevent-Kategorien anzuzeigen. Wähle die Kategorie **Audit Object Access**, um die Liste nach den entsprechend geloggten Systemereignissen zu filtern.

Um nur bestimmte Objektzugriffe anzuzeigen, kannst du die Liste nun noch weiter filtern. Klicke dazu erneut auf das **Filtern**-Symbol und wähle den Filter **Unterkategorie** aus.&#x20;

Es stehen folgende Unterkategorie-Filter zur Verfügung:

* **Audit Object Delete Access**: Eine Datei oder ein Ordner wurden gelöscht.
* **Audit Object Create Access**: Eine Datei oder ein Ordner wurden erstellt.
* **Audit Object Modify Access**: Der Inhalt oder die Meta-Daten einer Datei oder eines Ordners wurden verändert.
* **Audit Object Read Access**: Eine Datei oder ein Ordner wurden ausgelesen.
  {% endstep %}

{% step %}

### Alarme konfigurieren

Um über ungewöhnliche oder nicht autorisierte Objektzugriffe informiert zu werden, kannst du zwei Alarme hinzufügen.

<figure><img src="/files/Itp7RYGUxvE3RCpdXGCc" alt=""><figcaption></figcaption></figure>

<table><thead><tr><th width="271.70703125">Alarm</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Objektzugriff außerhalb der Geschäftszeiten</td><td>Lege einen Zeitraum fest, in dem Zugriffe auf Verzeichnisse und Dateien für gewöhnlich stattfinden. Der Alarm wird ausgelöst, wenn ein Zugriff außerhalb dieses Zeitraums stattfindet.</td></tr><tr><td>Unautorisierter Objektzugriff</td><td>Lege Benutzer fest, denen ein Zugriff auf Verzeichnisse und Dateien erlaubt ist. Gib die Benutzer in der Schreibweise <strong>&#x3C;Domain>\&#x3C;Benutzername></strong> an (z.B. AzureAD\MaxMustermann). Der Alarm wird ausgelöst, wenn ein Benutzer auf Objekte zugreift, der hier nicht expliziert definiert ist.</td></tr></tbody></table>
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/wie-kann-ich-mit-enginsight-objektzugriffe-auf-windows-systemen-uberwachen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.