Der erste Schritt beim Verfolgen von Anmelde- und Abmeldungsereignissen besteht darin, die Überwachung zu aktivieren. Sie können Windows mitteilen, welche speziellen Änderungen Sie überwachen möchten, damit nur solche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden.
Zum Prüfen des Nutzeranmeldungsverlaufs in Active Directory aktivieren Sie die Überwachung mit den folgenden Schritten:
- 1 Führen Sie die Datei gpmc.msc (Group Policy Management Console – Gruppenrichtlinienmanagement-Konsole) aus.
- 2 Erstellen Sie ein neues Gruppenrichtlinienobjekt.
- 3 Klicken Sie auf Bearbeiten , wechseln Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien. Unter Überwachungsrichtlinien finden Sie spezielle Einstellungen zu Anmeldung/Abmeldung und Kontoanmeldung.
Anmeldung/Abmeldung:
- Anmelden überwachen > Definieren > Erfolg und Fehler.
- Abmelden überwachen > Definieren > Erfolg.
- Andere Anmelde-/Abmeldeereignisse überwachen > Definieren > Erfolg.
Kontoanmeldung:
- Kerberos-Authentifizierungsdienst überwachen > Definieren > Erfolg und Fehler.
- 4 Zum Verknüpfen des neuen Gruppenrichtlinienobjekts mit Ihrer Domäne rechtsklicken Sie auf Ihre Domäne, wählen „Gruppenrichtlinienobjekt hier erstellen und verknüpfen“
Per Vorgabe werden Gruppenrichtlinien alle 90 Minuten von Windows aktualisiert. Wenn die Änderungen sofort umgesetzt werden sollen, können Sie eine Hintergrundaktualisierung sämtlicher Gruppenrichtlinieneinstellungen erzwingen, indem Sie folgenden Befehl über die Windows-Eingabeaufforderung ausführen:
gpupdate /forceAb jetzt werden die Daten sämtlicher Nutzeran- und -abmeldungen als Ereignisse im Windows-Sicherheitsprotokoll aufgezeichnet.
Zum Anzeigen der Ereignisse öffnen Sie die Ereignisanzeige, wechseln dort zu Windows-Protokolle > Sicherheit. Hier finden Sie Details zu sämtlichen Ereignissen, zu denen Sie Auditing aktivierten. An dieser Stelle können Sie die Größe des Sicherheitsprotokolls definieren, auch auswählen, ob ältere Elemente überschrieben werden sollen, damit aktuelle Ereignisse auch dann aufgezeichnet werden, wenn das Protokoll eigentlich voll ist.
Mit An- und Abmeldungsaktivitäten verknüpfte Ereignis-Ids.
-
Ereignis-ID 4624 – Ein Konto wurde erfolgreich angemeldet.
Dieses Ereignis zeichnet sämtliche erfolgreichen Anmeldungsversuchen an einem lokalen Computer auf. Dazu zählen wichtige Angaben zum Anmeldungstyp (wie Interaktiv, Batch, Netzwerk oder Dienst), SID, Nutzername, Netzwerkinformationen und mehr. Eine Überwachung dieses speziellen Ereignisses ist unerlässlich, da Angaben zum Anmeldungstyp nicht in DCs erscheinen.
-
Ereignis-ID 4634 – Ein Konto wurde abgemeldet.
Dieses Ereignis signalisiert das Ende einer Anmeldesitzung.
-
Ereignis-ID 4647 – Benutzerinitiierte Abmeldung.
Dieses Ereignis signalisiert wie das Ereignis 4634, dass sich ein Benutzer abgemeldet hat. Dieses besondere Ereignis zeigt jedoch an, dass die Anmeldung interaktiv oder RemoteInteractive (Remotedesktop) war.
-
Ereignis-ID 4625 – Fehler beim Anmelden eines Kontos.
Dieses Ereignis dokumentiert jeden fehlgeschlagenen Anmeldeversuch am lokalen Computer, einschließlich Informationen darüber, warum die Anmeldung fehlgeschlagen ist (falscher Benutzername, abgelaufenes Kennwort, abgelaufenes Konto usw.), was für Sicherheitsüberprüfungen hilfreich ist.
Alle oben genannten Ereignis-IDs müssen von einzelnen Maschinen gesammelt werden. Wenn Sie sich nicht mit der Art der Anmeldung befassen oder wenn sich Benutzer abmelden, können Sie einfach die folgenden Ereignis-IDs von Ihren Domänencontrollern verfolgen, um den Anmeldeverlauf der Benutzer zu ermitteln.
-
Ereignis-ID 4768 – Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert.
Dieses Ereignis wird generiert, wenn der DC ein Authentifizierungsticket (TGT) gewährt. Das bedeutet, dass ein Benutzer den richtigen Benutzernamen und das richtige Passwort eingegeben hat und sein Konto die Status- und Einschränkungsprüfungen bestanden hat. Wenn die Ticketanforderung fehlschlägt (Konto ist deaktiviert, abgelaufen oder gesperrter Versuch liegt außerhalb der Anmeldezeiten usw.), wird dieses Ereignis als fehlgeschlagener Anmeldeversuch protokolliert.
-
Ereignis-ID 4771 – Fehler bei der Kerberos-Vorauthentifizierung.
Dieses Ereignis bedeutet, dass die Ticketanforderung fehlgeschlagen ist, sodass dieses Ereignis als Anmeldefehler angesehen werden kann.
Vermutlich haben Sie bereits bemerkt, dass Anmeldungs- und Abmeldungsaktivitäten mit unterschiedlichen Ereignis-IDs angegeben werden. Zum Verknüpfen dieser Ereignisse benötigen Sie einen allgemeinen Bezeichner.
Die Anmeldekennung ist eine Zahl (die sich bei jedem Neustart ändert), welche die zuletzt gestartete Anmeldungssitzung identifiziert. Sämtliche Folgeaktivitäten werden mit dieser Kennung oder ID gemeldet. Durch Verknüpfen von Anmeldungs- und Abmeldungsereignissen mit derselben Anmeldekennung können Sie die Anmeldungsdauer errechnen.
Einschränkungen nativer Auditingwerkzeuge.
- Sämtliche lokalen anmeldungs- und abmeldungsbezogenen Ereignisse werden nur im Sicherheitsprotokoll einzelner Computer (Workstations oder Windows-Server), nicht in Domänencontrollern (DCs) aufgezeichnet.
- In DCs aufgezeichnete Anmeldungsereignisse enthalten zu wenig Daten, um erfolgreich zwischen unterschiedlichen Anmeldungstypen (Interaktiv, Remoteinteraktiv, Netzwerk, Batch, Dienst und dergleichen) zu unterscheiden.
- Abmeldungsereignisse werden nicht in DCs aufgezeichnet. Diese Angabe ist jedoch zum Ermitteln der Anmeldungsdauer bestimmter Nutzer unerlässlich.
Das bedeutet, dass Sie Daten von sämtlichen DCs sowie Workstations und anderen Windows-Servern sammeln müssen, um eine vollständige Übersicht über sämtliche Anmeldungs- und Abmeldungsaktivitäten Ihrer Umgebung zu erhalten. Wie Sie sich vorstellen können, gestaltet sich dies reichlich mühsam und kann schnell in Frustration ausarten.
Eine einfachere Möglichkeit zur Überwachung von Anmeldungsaktivitäten.
Wie wäre es, wenn es eine deutlich einfachere Möglichkeit zum Überwachen von Anmeldungsaktivitäten gäbe? Ein gutes Werkzeug wie ADAudit Plus überwacht bestimmte Anmeldungsereignisse sowie aktuelle und vergangene Anmeldungsaktivitäten, liefert Ihnen eine Liste mit sämtlichen anmeldungsrelevanten Änderungen.
ADAudit Plus bietet Ihnen Sofortberichte zu:
- Nutzeranmeldungsverlauf
- Domänencontroller-Anmeldungsverlauf
- Windows-Server-Anmeldungsverlauf
- Workstation-Anmeldungsverlauf
Diese Informationen werden Ihnen über eine leicht verständliche Weboberfläche präsentiert, die statistische Daten mit Diagrammen, Grafiken sowie in Listendarstellung mit vorgefertigten und maßgeschneiderten Berichten darstellt.
Nutzeranmeldungsaktivität-Bericht