So auditieren Sie Kerberos-Authentifizierungsereignisse in Active Directory

Schritte zur Auditingaktivierung/Überwachungsaktivierung per Gruppenrichtlinien-Verwaltungskonsole (GPMC):

1. Klicken Sie auf Start, suchen und öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Alternativ können Sie auch den Befehl gpmc.msc ausführen.

2. Rechtsklicken Sie auf die Domäne oder Organisationseinheit (OE), die Sie auditieren/überwachen möchten, klicken Sie anschließend auf GRO in dieser Domäne erstellen und hier verknüpfen.

3. Benennen Sie das Gruppenrichtlinienobjekt (GRO) entsprechend.
4. Rechtsklicken J das neu erstellte oder bereits vorhandene GRO, wählen Sie Bearbeiten.

5. Wählen Sie auf der linken Seite des Gruppenrichtlinienverwaltung-Editors: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > Kontoanmeldung.

6. Auf der rechten Seite finden Sie eine Liste mit Richtlinien, die zur Kontoanmeldung gehören. Doppelklicken Sie auf Kerberos-Authentifizierungsdienst überwachen, markieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren:, Erfolg und Fehler.

7. Führen Sie dieselben Schritte zur Richtlinie Ticketvorgänge des Kerberos-Dienstes überwachen aus.

7. Klicken Sie auf Übernehmen, anschließend auf OK.
8. Wechseln Sie zurück zur Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf der linken Seite mit der rechten Maustaste auf die Organisationseinheit, in der das Gruppenrichtlinienobjekt verknüpft wurde, anschließend auf Gruppenrichtlinienaktualisierung. Dieser Schritt sorgt dafür, dass die neuen Gruppenrichtlinieneinstellungen sofort statt erst bei der nächsten geplanten Aktualisierung umgesetzt werden.

Schritte zum Anzeigen von Kerberos-Authentifizierungsereignissen per Ereignisanzeige

Nach Abschluss der obigen Schritte werden die Kerberos-Authentifizierungsereignisse im Ereignisprotokoll gespeichert. Diese Ereignisse lassen sich durch Ausführen der folgenden Aktionen im Domänencontroller (DC) per Ereignisanzeige abrufen:

1. Klicken Sie auf Start, suchen Sie nach Ereignisanzeige, klicken Sie zum Öffnen darauf.
2. Wechseln Sie auf der linken Seite des Ereignisanzeige-Fensters zu Windows-Protokoll > Sicherheit.
3. An dieser Stelle finden Sie eine Liste mit sämtlichen Sicherheitsereignissen, die vom System protokolliert wurden.

4. Klicken Sie unter Sicherheit auf der rechten Seite auf Aktuelles Protokoll filtern.

5. Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* gemäß folgender Tabelle in das Feld Alle Ereignis-IDs ein.

* Die folgenden Ereignis-IDs werden für die gegebenen Ereignisse erzeugt:

6. Klicken Sie auf OK. So erhalten Sie eine Auflistung sämtlicher Vorkommen der Ereignis-ID.
7. Doppelklicken Sie zum Anzeigen der Eigenschaften auf die Ereignis-ID.

Einschränkungen des nativen Active-Directory-Auditings:

• Zur Eigenschaftenanzeige müssen Administratoren jede einzelne Ereignis-ID heraussuchen. Dies ist äußerst unpraktisch und zeitraubend, selbst in kleineren Betrieben.
• Auditing/Überwachung mit nativen Mitteln fördert keine wirklich nützlichen Einblicke zutage. Wenn Administratoren plötzliches Aufflammen von Anmeldungsaktivitäten oder anormales Anwenderverhalten überwachen oder darüber informiert werden möchten, ist dies mit nativem Auditing schlichtweg nicht möglich.
• Kerberos-Authentifizierung Ereignisse könnten mit mit jedem Domänencontroller der Domäne protokolliert werden. Administratoren müssten Ereignisse bei sämtlichen Domänencontrollern überwachen, eine äußerst umfangreiche Aufgabe. Ein zentralisiertes Werkzeug zum Überwachen sämtliche Ereignisse wäre in solchen Fällen genau das Richtige.

ManageEngine ADAudit Plus ist ein Active-Directory-Auditingwerkzeug, das Ihnen beim Überwachen von Nutzeranmeldungsaktivitäten per Kerberos-Authentifizierungsereignissen tatkräftig unter die Arme greift. Zusätzlich können Sie potentielle Sicherheitsbedrohungen dank Berichten zu anormalen Anmeldungsaktivitäten schnell erkennen, mit automatisierten Reaktionen auch unverzüglich angehen.