Wie man herausfindet, wer eine geplante Aufgabe auf einem Windows-Server erstellt hat

Der Windows-Taskplaner ist für viele Hacker eines der Hauptziele für die Infiltration eines Netzwerks. Selbst Windows 10, das über eine Sandbox verfügt (eine Option zum Ausführen und Testen der Vertrauenswürdigkeit einer Anwendung in einer abgeschirmten Umgebung, damit die Hauptinstallation nicht beeinträchtigt wird), ist anfällig für Hacker, die bösartige Skripte und Aufgaben über den Taskplaner ausführen. Diese bösartigen Skripte helfen dem Hacker, sich Zugang zu kritischen Ressourcen zu verschaffen, seine Privilegien zu erweitern und vieles mehr.

Die Aktivierung von Überwachungen für den Taskplaner sollte auf jeden Fall Teil Ihres Sicherheitsplans sein, da es Ihnen hilft, alle erstellten Tasks zu überwachen und verdächtige Tasks zu identifizieren. Führen Sie die folgenden Schritte aus, um festzustellen, wer eine geplante Aufgabe auf einem Windows-Server erstellt hat. Alternativ können Sie dies auch mit ADAudit Plus auf eine viel einfachere Weise tun.

Kostenlos herunterladen Kostenlose, voll funktionsfähige 30-Tage-Testversion

  • Mit Native AD Auditing

  • Mit ADAudit Plus

  • Wie Sie mit ADAudit Plus feststellen können, wer eine geplante Aufgabe im Aufgabenplaner erstellt hat

  • Um geplante Aufgaben zu verfolgen, müssen Sie die Überwachung Ihres Active Directory (AD) aktivieren.

  • Gehen Sie in der ADAudit Plus-Konsole auf die Registerkarte Serverüberwachung und navigieren Sie im linken Bereich zu Prozessverfolgung. Hier finden Sie eine Liste mit vorkonfigurierten Berichten über die Prozessaktivität im AD.

  • Sie können den Bericht "Geplante Aufgabe erstellt" auswählen, um alle neuen Aufgaben, die geplant wurden, und den Namen des Benutzers, der die Aufgabe erstellt hat, anzuzeigen.

  • Sie können auch benutzerdefinierte Berichte erstellen und diese Berichte in den Formaten CSV, PDF, XSL und HTML exportieren.

  • Schritt 1: Aktivieren der Gruppenrichtlinien-Überwachung

  • Melden Sie sich an Ihrem Domänencontroller mit administrativen Rechten an und starten Sie die Gruppenrichtlinien-Verwaltungskonsole.

  • Klicken Sie mit der rechten Maustaste auf das entsprechende Gruppenrichtlinienobjekt, das mit dem Container Domänencontroller verknüpft ist, und wählen Sie “Bearbeiten”.

  • Erweitern Sie die Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfigurationen → Überwachungsrichtlinien → Knoten “Überwachungsrichtlinien” → Objektzugriff → Andere Objektzugriffsereignisse überwachen

  • Konfigurieren Sie die Eigenschaften für "Erfolg" und "Misserfolg". Beenden Sie den Editor für die Gruppenrichtlinienverwaltung.

  • Wählen Sie in der Gruppenrichtlinien-Verwaltungskonsole das geänderte GPO aus, und klicken Sie im Abschnitt "Sicherheit" auf der rechten Seite auf "Hinzufügen". Geben Sie "Jeder" in das Textfeld ein und klicken Sie auf "Namen prüfen", um den Wert zu übernehmen. Verlassen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  • Um diese Änderungen in der gesamten Domäne durchzusetzen, führen Sie in der Konsole "Ausführen" den Befehl "gpupdate /force" aus.

  • Schritt 2: Erlauben Sie AD Auditing durch ADSI Edit

  • Gehen Sie in Ihrem Server Manager auf Tools und wählen Sie "ADSI Edit".

  • Klicken Sie mit der rechten Maustaste auf den Knoten "ADSI Edit" im linken Fensterbereich und wählen Sie die Option "Verbinden mit". Daraufhin wird das Fenster "Verbindungseinstellungen" angezeigt.

  • Wählen Sie die Option "Standard-Namenskontext" aus der Dropdown-Liste "Wählen Sie einen bekannten Namenskontext".

  • Klicken Sie auf “OK” und kehren Sie zum ADSI-Bearbeitungsfenster zurück. Erweitern Sie “Standard-Namenskontext” und wählen Sie den zugehörigen Unterknoten “DC”. Klicken Sie mit der rechten Maustaste auf diesen Unterknoten und dann auf "Eigenschaften".

  • Gehen Sie im Fenster “Eigenschaften” auf die Registerkarte Sicherheit und wählen Sie “Erweitert”. Wählen Sie anschließend die Registerkarte "Überwachung" und klicken Sie auf "Hinzufügen".

  • Klicken Sie auf "Prinzipal auswählen". Daraufhin wird das Fenster "Benutzer, Computer oder Gruppe auswählen" angezeigt. Geben Sie "Jeder" in das Textfeld ein und bestätigen Sie es mit "Namen prüfen".

  • Prinzipal im Fenster Eintrag prüfen zeigt jetzt "Jeder" an. Wählen Sie in der Dropdown-Liste Typ die Option "Alle", um sowohl "erfolgreiche" als auch "fehlgeschlagene" Ereignisse zu prüfen.

  • Wählen Sie in der Dropdown-Liste Auswahl die Option "Dieses Objekt und alle abhängigen Objekte". Dies ermöglicht die Prüfung der von der OU abhängigen Objekte. Wählen Sie im Abschnitt Berechtigungen die Option "Volle Kontrolle".

  • Dadurch werden alle verfügbaren Kontrollkästchen aktiviert. Deaktivieren Sie die folgenden Kontrollkästchen:

    1. Vollständige Kontrolle
    2. Inhalte auflisten
    3. Alle Eigenschaften lesen
    4. Berechtigungen lesen
  • Schritt 3: Ereignisse im Event Viewer anzeigen.

    • Sie können geplante Aufgaben überwachen, indem Sie auf Sicherheitsprotokolle im Event Viewer zugreifen. Sie können Ihr Protokoll filtern, um nach dem folgenden Ereignis zu suchen.

    Ereignis-ID: 4698 beschreibt eine Aufgabe, die geplant wurde.

Wird Ihnen das Native Auditing ein wenig zu viel?

Vereinfachen Sie die Überprüfung von Systemereignissen und die Berichterstattung mit ADAudit Plus.

Erhalten Sie Ihre kostenlose Testversion Voll funktionsfähige 30-Tage-Testversion

Active Directory-Auditing ist jetzt noch einfacher!

ADAudit Plus wird mit mehr als 300 vordefinierten Berichten geliefert, die das AD-Auditing vereinfachen. Die Lösung sendet auch Echtzeit-Warnungen für kritische Ereignisse und hilft Ihnen so, Ihr Netzwerk vor Bedrohungen zu schützen und Ihre IT-Sicherheit zu erhöhen. Informieren Sie sich hier über die Möglichkeiten von ADAudit Plus.

ADAudit Plus herunterladen

Verwandte How-Tos

Herausfinden

  •  
  •  
  •  
  •  
  • Wenn Sie auf „Absenden“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank für Ihr Interesse an ADAudit Plus!

Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Related Links

© 2019 Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.