Inhalte
- Bedeutung erweiterter Audit-Richtlinien
- Grundlagen zum Konfigurieren einer erweiterten Audit-Richtlinie
- Schritte zum Konfigurieren von Einstellungen für erweiterte Audit-Richtlinien
- Kurze Übersicht zu den zehn Kategorien von erweiterten Audit-Richtlinien
- Fünf wichtige Punkte, die Sie im Hinterkopf behalten sollten
Die Bedeutung erweiterter Audit-Richtlinien.
Sicherheits-Audits dienen dazu, dass Ereignisse bei jeglichen Aktivitäten protokolliert werden. Allerdings werden die Ereignisprotokolle schnell mit irrelevanten Informationen überschwemmt, wenn alle Aktivitäten überwacht werden. So wird es für Netzwerkadministratoren schnell schwierig, die kritischen Ereignisse von den unwichtigen zu unterscheiden. Erweiterte Überwachungsrichtlinien helfen Administratoren, fein abgestimmt die Kontrolle darüber zu übernehmen, welche Aktivitäten in den Protokollen aufgezeichnet werden, damit Ereignisse nicht zur Flut werden.
Dazu ein Beispiel: Anstatt die Audit-Richtlinienkategorie "DS-Zugriff" zu aktivieren, um ein Replizierungsproblem zu beheben (die bei jedem Auftreten der Aktivität acht Ereignisse erzeugen würde), können Admins die Unterkategorie von erweiterten Audit-Richtlinien „Directory-Service-Replizierung“ aktivieren. Dabei wird nur ein Ereignis erzeugt, und nicht acht.
Grundlagen zum Konfigurieren einer erweiterten Audit-Richtlinie.
- Identifizieren Sie die wichtigsten Aktivitäten in Ihrem Netzwerk, die nachverfolgt werden müssen. Sehen Sie sich dazu die 8 kritischsten Ereignis-IDs als Ausgangspunkt an.
- Identifizieren Sie, mit welchen Sicherheits-Audit-Einstellungen diese Aktivitäten verfolgt werden können.
- Bewerten Sie die möglichen Vor- und Nachteile jeder dieser Einstellungen (z. B. wie sich diese auf die Protokollgröße auswirken).
- Konfigurieren und Verwalten Sie Sicherheits-Audit-Einstellungen (zusätzlich zu Audit-Richtlinien und erweiterten Audit-Richtlinien müssen SIe außerdem SACLs (System Access Control Lists) konfigurieren, um Audits für Directory-Objekte und Dateien/Ordner aktivieren zu können
Informationen zur Konfiguration von SACLs finden Sie in unserem Hilfedokument.
Schritte zum Konfigurieren von Einstellungen für erweiterte Audit-Richtlinien.
Um eine erweiterte Audit-Richtlinie einzurichten, sind Kontoberechtigungen auf Administrator-Ebene erforderlich, oder die entsprechenden delegierten Berechtigungen.
- Klicken Sie im Domänencontroller auf Start, zeigen Sie auf Administrative Tools, und dann auf Gruppenrichtlinienmanagement.
- Vom Konsolenbaum aus, klicken Sie auf den Namen Ihres Waldes > Domänen > Ihre Domäne. Anschließend klicken Sie mit der rechten Maustaste auf die relevante Standard-Domänen- oder Domänencontroller-Richtlinie (oder erstellen Sie Ihre eigene Richtlinie), und wählen dann Bearbeiten aus.
- Klicken Sie unter Computerkonfiguration auf Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Audit-Richtlinienkonfiguration → Audit-Richtlinie auf die jeweilige Richtlinieneinstellungen.
- Im rechten Fensterbereich klicken Sie mit der rechten Maustaste auf die entsprechende Unterkategorie und dann auf Eigenschaften.
- Wählen Sie Erfolg, Fehlschlag oder beides über die beiden „Audit-Events“ Markierungsfelder aus und klicken Sie auf OK.
Hier eine kurze Erläuterung der Kategorien für erweiterte Audit-Richtlinien.
- Kontoanmeldung (vier Unterkategorien): Überwacht Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder lokalen SAM (Security Accounts Manager).
- Kontomanagement (sechs Unterkategorien): Überwacht Änderungen an Benutzer- und Computerkonten sowie Gruppen.
- Detaillierte Verfolgung (fünf Unterkategorien: Überwacht die Aktivitäten einzelner Anwendungen und Benutzer auf einem Computer, und zeigt auf, wie dieser Computer verwendet wird.
- DS-Zugriff (vier Unterkategorien): Stellen einen detaillierten Audit-Verlauf zu Versuchen bereit, auf Objekte in Active Directory Domain Services zuzugreifen und diese zu ändern.
- Anmeldung/Abmeldung (11 Unterkategorien): Verfolgt Versuche nach, sich interaktiv oder über ein Netzwerk beim Computer anzumelden.
- Objektzugriff (14 Unterkategorien): Behält Versuche im Blick, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen.
- Richtlinienänderung (sechs Unterkategorien): Verfolgt Änderungen an wichtigen Sicherheitsrichtlinien nach, ob im lokalen System oder im Netzwerk.
- Verwendung von Berechtigungen (drei Unterkategorien): Verfolgt die Verwendung bestimmter Berechtigungen für ein oder mehrere Systeme.
- System (fünf Unterkategorien): Verfolgt Änderungen auf Systemebene an einem Computer nach, die nicht in andere Kategorien passen und sich mögliche auf die Sicherheit auswirken.
- Globales Auditing des Objektzugriffs (zwei Unterkategorien): Ermöglicht Admins, Computer-SACLs zu definieren pro Objekttyp für das Dateisystem oder die Registry zu definieren.
Protokollieren Sie Erfolge, Fehlschläge oder beides.
Sie sollten die Vor- und Nachteile bewerten, bevor Sie sich zum Protokollieren von Erfolgen, Fehlschlägen oder beidem entscheiden. Ein Beispiel: Wenn legitime Benutzer häufig auf Dateien zugreifen, dann füllt sich das Ereignisprotokoll schnell mit gutartigen Ereignissen. Da fehlgeschlagene Anmeldungsereignisse auf unbefugten Zugriff hindeuten können, sollten Sie in diesem Szenario diese Ereignisse überwachen. Andererseits müssen bei Dateien mit sensiblen Daten alle Zugriffsversuche protokolliert werden (ob erfolgreich oder fehlgeschlagen). So erhalten Sie einen Audit-Verlauf zu allen Benutzern, die auf die Datei zugegriffen haben.
Fünf wichtige Punkte, die Sie im Hinterkopf behalten sollten.
- Audit-Richtlinien sind Computer-Richtlinien. Daher müssen erweiterte Audit-Richtlinien über GROs angewendet werden, die wiederum über OEs mit Computern darin angewendet werden – nicht über Benutzer-OEs.
- Die Standard-Domänenrichtlinie ist mit der Domäne verknüpft und betrifft aufgrund der Gruppenrichtlinien-Vererbung alle Benutzer und Computer in der Domäne. Dagegen ist die standardmäßige Domänencontroller-Richtlinie mit der Domänencontroller-OE verknüpft und betrifft nur DCs. Richtlinieneinstellungen, die auf OE-Ebene angewendet werden, überschreiben solche auf Domänenebene.
- Wenn Sie Einstellungen für erweiterte Audit-Richtlinien verwenden, aktivieren Sie unbedingt die Option "Einstellungen für erweiterte Audit-Richtlinien erzwingen", um die Audit-Richtlinieneinstellungen zu überschreiben. Gehen Sie dazu auf Lokale Richtlinien > Sicherheitsoptionen und aktivieren Sie die Unterkategorie-Einstellungen zum Erzwingen von Audit-Richtlinien.
- Führen Sie den Assistenten für Gruppenrichtlinien-Ergebnisse auf der Konsole für das Gruppenrichtlinienmanagement aus, um eine konsolidierte Liste aller Audit-Richtlinieneinstellungen anzuzeigen, die angewendet werden.
- Wenn Sie eine bestehende erweiterte Audit-Richtlinie ändern, sichern Sie unbedingt die bestehende GRO, um sie jederzeit wiederherstellen zu können. Um eine Sicherung anzulegen, klicken Sie mit der rechten Maustaste auf die entsprechende GRO und verwenden Sie die Funktion "Backup".
Laden Sie ManageEngine ADAudit Plus herunter und empfangen Sie bereits in nur einer Stunde die ersten Sicherheitswarnungen zu Active Directory!
ADAudit Plus erkennt automatisch Domänencontroller, konfiguriert die erforderlichen Sicherheitseinstellungen für die Protokollereignisse und legt standardmäßige Warnungsprofile fest – alles natürlich nur mit Ihrer Einwilligung.