Log på webkonsollen i ADAudit Plus
Naviger til Rapporter -> Ændringer af GPO-indstillinger
Du kan se flere rapporter, der er klar til brug og sporer ændringer af gruppepolitikken i realtid. Der er for eksempel rapporten Ændringer af gruppepolitikindstillinger.
I denne rapport kan du få oplysninger om navnet på det GPO, der er blevet ændret, ændringstidspunktet, og hvem der har ændret det. Du kan også få detaljerede oplysninger ved at klikke på Vis detaljer under Oversigt.
Det er vigtigt for IT-administratorer at overvåge alle ændringer af gruppepolitikken, fordi den kontrollerer arbejdsmiljøet for alle Active Directory-objekter (AD), herunder brugere og computere. En gruppepolitik definerer, hvordan forskellige systemer, brugere og andre AD-objekter interagerer med hinanden. En samling af gruppepolitikkonfigurationer, der er sat op af en IT-administrator, kaldes et gruppepolitikobjekt (GPO).
Angribere, der ønsker at kompromittere et AD-miljø, kan forsøge at gå efter GPO'er og foretage skadelige ændringer. Overvågning af ændringer af GPO'er giver en administrator mulighed for at vide, præcis hvilken ændring der blev foretaget, hvornår den blev foretaget, hvem der foretog ændringen, og hvor ændringen blev foretaget. Det styrker sikkerheden i AD-miljøet og gør det muligt for administratoren at tilbageføre uautoriserede ændringer.
For at overvåge ændringer af gruppepolitikken skal IT-administratorer først aktivere overvågning af DS-objekter, gruppepolitikbeholderobjekter og SYSVOL-mappen.
Start Serverstyring i dit Windows Server-operativsystem.
Naviger til værktøjer -> Administration af gruppepolitik.
Gå til Domæner -> Domænecontrollere.
Gør en af to ting:
Naviger til Computerkonfiguration -> Politikker -> Windows-indstillinger -> Sikkerhedsindstillinger -> Avanceret konfiguration af overvågningspolitik -> Overvågningspolitikker -> DS-adgang.
Aktivér overvågning for både "vellykket" og "mislykket" for hver af følgende: Overvåg detaljeret replikering af katalogtjenester, Overvåg adgang til katalogtjenester, Overvåg ændringer af katalogtjenester og Overvåg replikering af katalogtjenester.
Gå nu til Avanceret konfiguration af overvågningspolitik -> Overvågningspolitik -> Adgang til objekt.
Aktivér overvågning af både "vellykket" og "mislykket" for alle 14 underkategorier af hændelsestyper.
Gå til Serverstyring -> Værktøjer -> ADSI-redigering.
Højreklik på ADSI-redigering i venstre rude, og vælg "Forbind til" for at åbne forbindelsesindstillingerne. Du kan se, at stien peger på din domænecontroller.
Tryk på OK for at oprette forbindelse.
Åbn Standardnavngivningskontekst.
Naviger til DC = Domæne -> DC = com -> CN=System -> CN=Politikker.
Højreklik på CN=Politikker, og gå til Egenskaber.
Gå til Sikkerhed -> Avanceret -> Overvågning -> Tilføj.
I guiden Overvågningspost for politikker skal du vælge Alle som principal.
Typen skal være "Vellykket", og "Anvendes på" skal være "Dette objekt og alle underordnede objekter."
Under Tilladelser skal du vælge alle de poster, der svarer til handlinger, der skal overvåges. Det kan være en god idé som minimum at overvåge "Opret gruppepolitikbeholderobjekter", "Slet", "Ændr tilladelser" og "Skriv versionsnummer".
Klik på OK.
Gå til din SYSVOL-mappe, som normalt findes i C:\Windows\SYSVOL.
Højreklik på mappen SYSVOL, og gå til Egenskaber.
Gå til Sikkerhed -> Avanceret for at åbne de avancerede sikkerhedsindstillinger for SYSVOL-mappen.
Klik på fanen Overvågning, og klik derefter på Tilføj.
Under Principal skal du vælge "Alle" for at aktivere overvågning af ændringer foretaget af alle i dit AD.
Vælg dine overvågningsposter.
Tryk på OK.
Du kan overvåge GPO'er på to måder:
1) Med indbyggede værktøjer som Logbog og 2) med en omfattende løsning til overvågning af AD som ADAudit Plus. I denne artikel vil vi sammenligne begge metoder.
Naviger til Startmenu -> Kontrolpanel -> Administrative værktøjer -> Logbog.
Filtrer hændelserne efter hændelses-ID 5136, da dette giver en liste over ændringer af gruppepolitikken, værdiændringer og ændringer af GPO-tilknytninger.
Her er et eksempel på et skærmbillede af en søgning efter hændelses-ID 5136:
Der er flere ulemper ved at bruge Logbog til overvågning af GPO-ændringer:
Det er ikke let at bruge, da dataene findes under forskellige logfiler. Administratoren er derfor nødt til at gennemgå flere logfiler, for at få det fulde billede af hvad der er sket.
Der er ingen tabelrapporter eller diagrammer i Logbog, som IT-administratoren kan bruge. Det gør det svært at visualisere dataene.
Administratoren er nødt til at gennemgå logfilerne manuelt, tage noter og bruge betydelige ressourcer på at analysere, hvilket GPO der blev ændret, hvem der ændrede det, hvornår det blev ændret, og hvor det blev ændret.
Det er altid bedre at bruge en omfattende AD-overvågningsløsning som ADAudit Plus til at overvåge alle GPO-ændringer. Det vil i høj grad være med til at beskytte din organisations AD.
Er overvågning med indbyggede metoder blevet for besværligt?
Gør Active Directory-overvågning og ‑rapportering enklere med ADAudit Plus.
Få din gratis prøveperiode 30-dages prøveperiode med alle funktioner