Zuhause »

Wie man Änderungen von Benutzerkennwörtern in Active Directory erkennt

Starten Sie Ihre kostenlose Testversion

Obwohl es gut ist, Ihre Mitarbeiter dazu anzuhalten, ihre Kennwörter regelmäßig zu ändern, muss diese Aktivität überwacht werden. Unüberwachte Kennwortänderungen oder -zurücksetzungen durch einen böswilligen Insider können zu einer schwerwiegenden Sicherheitsverletzung führen. Administratoren müssen Kennwortänderungen und -zurücksetzungen im Auge behalten, um sicherzustellen, dass sie autorisiert sind, und um die Sicherheit ihrer Active Directory (AD)-Umgebung zu gewährleisten. In dieser Dokumentation erfahren Sie, wie Sie Kennwortänderungsaktivitäten in AD überwachen können.

Schritte zum Aktivieren der Überwachung mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC):

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.
    2. screenshot
  2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie überwachen möchten, und klicken Sie auf Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen. Wenn Sie bereits ein Gruppenrichtlinienobjekt (GPO) erstellt haben, fahren Sie mit Schritt 4 fort.
    3. screenshot
  3. Benennen Sie das Gruppenrichtlinienobjekt.
  4. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.
    5. screenshot
  5. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor im linken Fensterbereich zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Kontoverwaltung.
    6. screenshot
  6. Doppelklicken Sie im rechten Fensterbereich auf Überwachung der Benutzerkontenverwaltung und aktivieren Sie die Kontrollkästchen neben Konfigurieren der folgenden Überwachungsereignisse, Erfolg und Fehler.
    7. screenshot
  7. Klicken Sie auf Übernehmen und dann auf OK.
  8. Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole zurück, klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte OU, mit der die Gruppenrichtlinie verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.
    9. screenshot

Schritte zum Anzeigen dieser Ereignisse in der Ereignisanzeige (Event Viewer):

Sobald die oben genannten Schritte abgeschlossen sind, werden die Ereignisse im Ereignisprotokoll gespeichert. Diese können in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:

  1. Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
  2. Navigieren Sie im linken Bereich des Fensters Ereignisanzeige zu Windows-Protokolle → Sicherheit.
  3. Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert sind.
    4. screenshot
  4. Klicken Sie im rechten Bereich unter Sicherheit auf Aktuelles Protokoll filtern.
    5. screenshot
  5. Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* in das Feld <Alle Ereignis-IDs> ein.
    6. *Die folgenden Ereignis-IDs werden protokolliert, wenn das jeweilige Ereignis eintritt:
    4723 - Wenn ein Benutzer versucht, sein Passwort zu ändern.
    4724 - Wenn ein Administrator versucht, das Passwort eines anderen Benutzers zurückzusetzen.
  6. Klicken Sie auf OK. Dadurch wird eine Liste der Vorkommen der eingegebenen Ereignis-ID erstellt.
  7. Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen.
    8. screenshot

Die Überprüfung der Kennwortänderungen durch die oben beschriebene manuelle Methode ist mühsam, da jede Organisation mit Hunderten bis Tausenden von Benutzerkonten zu tun hat.

ADAudit Plus, ein umfassendes AD-Überwachungstool, ermöglicht es Administratoren, Kennwortänderungen und andere Active Directory-Änderungen mühelos zu überprüfen.

Laden Sie die kostenlose 30-Tage-Testversion herunter

Schritte zum Erkennen von Änderungen an Benutzerkennwörtern mit ManageEngine ADAudit Plus

  1. Laden Sie ADAudit Plus herunter und installieren Sie es.
  2. Hier finden Sie die Schritte zur Konfiguration der Überwachung auf Ihrem Domänencontroller.
  3. Öffnen Sie die ADAUdit Plus-Webkonsole und melden Sie sich als Administrator an.
  4. Navigieren Sie zu Berichte → Benutzerverwaltung → Benutzer mit kürzlich geändertem Passwort.
1
 

Zeigen Sie die letzten Passwortänderungen an und überprüfen Sie die Aktivitäten von Benutzern, die ihre Passwörter häufig ändern.

2
 

Eine hohe Anzahl fehlgeschlagener Passwortänderungen könnte auf einen Brute-Force-Angriff hindeuten.

How to monitor computer activity in Active Directory

Zeigen Sie die letzten Passwortänderungen an und überprüfen Sie die Aktivitäten von Benutzern, die ihre Passwörter häufig ändern.
Eine hohe Anzahl fehlgeschlagener Passwortänderungen könnte auf einen Brute-Force-Angriff hindeuten.

Um Berichte zu Passwortänderungen nach Benutzern geordnet anzuzeigen, navigieren Sie zu Berichte → Benutzerverwaltung → Benutzerbasierte Passwortänderungen.

1
 

Analysieren Sie sowohl erfolgreiche als auch fehlgeschlagene Versuche, Passwörter zu ändern

How to monitor computer activity in Active Directory

Analysieren Sie sowohl erfolgreiche als auch fehlgeschlagene Versuche, Passwörter zu ändern

  1. Navigieren Sie zu Berichte → Benutzerverwaltung → Benutzer, deren Passwort kürzlich geändert wurde.
1
 

Sehen Sie sich die letzten Passwortänderungen an und finden Sie heraus, welche Benutzer am häufigsten Passwörter zurücksetzen.

2
 

Sehen Sie, wer das Passwort für wen geändert hat und ob die Aktion erfolgreich war oder nicht.

How to monitor computer activity in Active Directory

Sehen Sie sich die letzten Passwortänderungen an und finden Sie heraus, welche Benutzer am häufigsten Passwörter zurücksetzen.
Sehen Sie, wer das Passwort für wen geändert hat und ob die Aktion erfolgreich war oder nicht.

Um Berichte für Passwortrücksetzungen nach Benutzern kategorisiert anzuzeigen, navigieren Sie zu Berichte → Benutzerverwaltung → Benutzerbasierte Passwortrücksetzung.

1
 

Analysieren Sie, welches Benutzerkonto in einem bestimmten Zeitraum am häufigsten zurückgesetzt wurde

How to monitor computer activity in Active Directory

Analysieren Sie, welches Benutzerkonto in einem bestimmten Zeitraum am häufigsten zurückgesetzt wurde

Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Prüfung:

  • Zeigen Sie Berichte für Passwortänderungen und -rücksetzungen an, die Ihnen das genaue Datum und die Uhrzeit der Aktion, wer die Rücksetzung durchgeführt hat und vieles mehr anzeigen.
  • Erkennen, verfolgen und beheben Sie AD-Kontosperrungen schneller mit dem Kontosperrungsanalysator von ADAudit Plus.
  • Erfüllen Sie Vorschriften wie SOX, HIPAA, GLBA, PCI DSS, FISMA und die DSGVO mit den Berichten von ADAudit Plus.
Laden Sie eine kostenlose 30-Tage-Testversion herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products