Schritte zur Aktivierung der Überwachung mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC):
Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:
- Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.
- Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie prüfen möchten, und klicken Sie auf GPO in dieser Domäne erstellen und Hier verknüpfen. Wenn Sie bereits ein Gruppenrichtlinienobjekt (GPO) erstellt haben, fahren Sie mit Schritt 4 fort.
- Benennen Sie das Gruppenrichtlinienobjekt entsprechend.
- Klicken Sie mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten aus.
- Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor im linken Fensterbereich zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Detaillierte Nachverfolgung.
- Im rechten Fensterbereich sehen Sie eine Liste der Richtlinien, die sich unter Detaillierte Nachverfolgung befinden. Doppelklicken Sie auf Überwachungsprozess-Erstellung und aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler. Führen Sie die gleichen Aktionen für Überwachungsprozess-Beendigung aus.
- Klicken Sie auf Übernehmen und dann auf OK.
- Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole zurück, klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.
Sobald diese Richtlinie aktiviert ist, werden Ereignisse im Sicherheitsprotokoll des DC protokolliert, wenn ein Prozess erstellt oder beendet wurde.
Schritte zum Anzeigen dieser Ereignisse in der Ereignisanzeige (Event Viewer):
Sobald die oben genannten Schritte abgeschlossen sind, werden Ereignisse im Ereignisprotokoll gespeichert. Dieses kann in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:
- Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
- Navigieren Sie im Fenster „Ereignisanzeige“ im linken Bereich zu Windows-Protokolle → Sicherheit.
- Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert sind.
- Klicken Sie im rechten Fensterbereich unter „Sicherheit“ auf Aktuelles Protokoll filtern.
- Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* in das Feld <Alle Ereignis-IDs> ein.
*Die folgenden Ereignis-IDs werden für die angegebenen Ereignisse generiert:
| Ereignis-ID |
Unterkategorie |
Ereignistyp |
Beschreibung |
| 4688 |
Erstellung eines Prüfprozesses |
Erfolg |
Ein neuer Prozess wurde erstellt. |
| 4696 |
Erstellung eines Prüfprozesses |
Erfolg |
Dem Prozess wurde ein primäres Token zugewiesen. |
| 4689 |
Prüfprozess beendet |
Erfolg |
Ein Prozess wurde beendet. |
- Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der eingegebenen Ereignis-ID angezeigt.
- Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen.
Ereignis 4688 wird protokolliert, wenn ein Prozess erstellt wird. Die folgenden Details werden in den Ereigniseigenschaften protokolliert:
- Name und SID des Kontos, das den Vorgang „Prozess erstellen“ angefordert hat
- Prozess-ID, vollständiger Pfad und Name des neu erstellten Prozesses
Die oben beschriebene Methode ist unrealistisch, wenn Sie mit Tausenden von Geräten in einer Organisation arbeiten, da ein Administrator jedes Ereignis manuell nachschlagen müsste, um seine Details anzuzeigen.
ADAudit Plus, ein umfassendes AD-Prüfungs-Tool, ermöglicht es Administratoren, Ereignisse zur Prozesserstellung und -beendigung mühelos zu prüfen. Sie können auch alle geplanten Aufgabenerstellungen, -löschungen und -änderungen, die an ihnen vorgenommen wurden, problemlos nachverfolgen.
Schritte zur Überwachung der Prozessverfolgung mit ManageEngine ADAudit Plus
- Laden Sie ADAudit Plus herunter und installieren Sie es.
- Hier finden Sie die Schritte zur Konfiguration der Überwachung auf Ihrem Domänencontroller.
- Öffnen Sie die Konsole und melden Sie sich als Administrator an.
- Navigieren Sie zu Serverüberwachung → Prozessverfolgung → Neuer Prozess erstellt
Sie können auch die Beendigung von Prozessen verfolgen. Navigieren Sie zu Serverüberwachung → Prozessverfolgung → Neuer Prozess beendet.
Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Überwachung:
- Sie erhalten sofort aussagekräftige Berichte über die Erstellung und Beendigung von Prozessen, anstatt manuell nach einer Ereignis-ID suchen zu müssen.
- Sie können alle ausgeführten Programme überwachen und ermitteln, wer den Prozess gestartet hat, auf welchem Computer das Programm gestartet wurde, wann der Prozess gestartet wurde und vieles mehr.
- Sie können detailliert alle geplanten Aufgaben verfolgen, die von Benutzern in Ihrer Organisation festgelegt wurden.
- Sie erhalten kuratierte Berichte für alle Änderungen, die an Ihrem Active Directory vorgenommen wurden, auf einer zentralen Plattform.
- Einfache Einhaltung von Compliance-Vorschriften wie SOX, HIPAA, GLBA, PCI-DSS, FISMA und DSGVO.
