ADAudit Plus »

Hoe u wijzigingen in groepsbeleid kunt controleren in Active Directory

Start uw gratis proefperiode

In Active Directory (AD) is Groepsbeleid een beveiligingshulpprogramma dat centraal beheer en controle van alle computers en gebruikers in het netwerk biedt. Beheerders kunnen gebruikers toegang tot bepaalde bronnen toestaan, weigeren of beperken, scripts uitvoeren, auditing in- of uitschakelen en tal van andere acties op apparaten uitvoeren. Daarom is elke wijziging in het groepsbeleid van cruciaal belang en kan elke ongeautoriseerde wijziging leiden tot ernstige beveiligingsinbreuken. Lees verder om te ontdekken hoe u elke wijziging in uw groepsbeleid kunt controleren.

Stappen om auditing in te schakelen met behulp van de console Groepsbeleidbeheer:

Voer de volgende acties uit op de domeincontroller (DC):

  1. Druk op Start, zoek naar en open de console Groepsbeleidbeheer (GPMC) of voer de opdracht gpmc.msc uit.
  1. Klik met de rechtermuisknop op het domein of de organisatie-eenheid (OE) die u wilt controleren en klik op Een GPO in dit domein maken en hier koppelen.

Opmerking: Als u al een Groepsbeleidsobject (GPO) hebt gemaakt, klikt u op Een bestaand GPO koppelen.

  1. Geef een naam aan het GPO.
  2. Klik met de rechtermuisknop op het GPO en kies Bewerken.
  1. Ga in de Groepsbeleidsbeheer-editor in het linkerdeelvenster naar Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van auditbeleid > Auditbeleid > DS-toegang.
  1. In het rechterdeelvenster ziet u een lijst met beleid dat onder DS-toegang valt. Dubbelklik op Active Directory servicewijzigingen en schakel de selectievakjes Configureer de volgende controlegebeurtenissen, Succes en Mislukt in.
  1. Klik op Toepassen en dan op OK.
  2. Navigeer naar Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Geavanceerde configuratie van auditbeleid > Auditbeleid > Objecttoegang.
  1. In het rechterdeelvenster ziet u een lijst met beleid dat onder Objecttoegang valt. Dubbelklik op Bestandssysteem controleren en schakel de selectievakjes Configureer de volgende controlegebeurtenissen, Succes en Mislukt in.
  1. Ga terug naar de console Groepsbeleidbeheer en klik in het linkerdeelvenster met de rechtermuisknop op de gewenste OE waarin het GPO is gekoppeld en klik op Groepsbeleid updaten. Deze stap zorgt ervoor dat de nieuwe instellingen voor groepsbeleid direct worden toegepast, zodat u niet hoeft te wachten op de volgende geplande vernieuwing.

Zodra dit beleid is ingeschakeld, worden gebeurtenissen geregistreerd in het beveiligingslogboek van de DC wanneer een groepsbeleidsobject wordt gewijzigd.

Stappen voor het configureren van de controle van groupPolicyContainer-objecten met ADSI bewerken

Voer de volgende acties uit op de domeincontroller:

  1. Klik op Start, zoek naar ADSI bewerken, klik er met de rechtermuisknop op en selecteer Uitvoeren als beheerder.
  1. Klik in het linkerdeelvenster met de rechtermuisknop op ADSI bewerken en selecteer Verbinden met.
  1. Zorg ervoor dat in het nieuwe venster Naam is ingesteld op Standaard naamgevingscontext en dat de domeinnaam die is aangegeven in het Pad het domein is dat u wilt controleren.
  1. Klik op OK.
  2. Dubbelklik op standaard naamgevingscontext en navigeer naar DC=domain,DC=com > CN=Systeem > CN=Beleid.
  1. Klik met de rechtermuisknop op CN=beleid en selecteer Eigenschappen.
  1. Ga naar het tabblad Beveiliging en klik op de knop Geavanceerd.
  1. Ga naar het tabblad Auditing en klik op de knop Toevoegen.
  1. Ga naar Selecteer principal en zoek naar Iedereen en klik op OK.
  2. Klik op de vervolgkeuzelijst Type en selecteer Geslaagd. Klik op de vervolgkeuzelijst op Toepassen op en dan op Dit object en alle onderliggende objecten.
  1. Scroll naar beneden en vink de vakjes groupPolicyContainer objecten maken en groupPolicyContainer-objecten verwijderen aan, en klik op OK om het venster Auditinvoer te sluiten. Klik op OK om het venster Geavanceerde beveiligingsinstellingen te sluiten. Klik op OK om het venster eigenschappen te sluiten.

U hebt nu het controleren van het maken en verwijderen van groupPolicyContainer-objecten ingeschakeld.

Stappen om de SYSVOL-map te controleren

Alle groepsbeleidsbestanden worden opgeslagen in de map SYSVOL van de domeincontroller. Om wijzigingen in het GPO te controleren, moet u dus deze map controleren. Voer de volgende acties uit op de domeincontroller:

Opmerking: Als u geen toegang hebt tot een DC, opent u de map SYSVOL via het netwerk.

  1. Open Windows Verkenner en navigeer naar C: > Windows > SYSVOL > domein.
  2. Klik met de rechtermuisknop op de map Beleid en selecteer Eigenschappen.
  1. Ga naar het tabblad Beveiliging en klik op de knop Geavanceerd.
  1. Selecteer het tabblad Auditing en klik op de knop Toevoegen.
  1. Klik op Selecteer principal, zoek naar Iedereen en klik OK.
  2. Klik op de vervolgkeuzelijst Type en selecteer Alle. Klik op de vervolgkeuzelijst Toepassen op en selecteer Deze map, submappen en bestanden.
  3. Klik op Geavanceerde toestemmingen weergeven en schakel het selectievakje Volledige controle in.
  1. Klik op OK.

Stappen om gebeurtenissen met betrekking tot wijzigingen in groepsbeleid te bekijken met Logboeken

Zodra de bovenstaande stappen zijn voltooid, worden wijzigingen die in een GPO worden aangebracht, geregistreerd als gebeurtenissen. Dit kan worden bekeken in Logboeken door de volgende stappen te volgen:

  1. Klik op Start, zoek naar Logboekenen klik om het te openen.
  2. Navigeer in het venster Logboek in het linkerdeelvenster naar Windows-logboeken > Beveiliging.
  3. Hier vindt u een lijst van alle beveiligingsgebeurtenissen die in het systeem zijn geregistreerd.
  1. Klik in het rechterdeelvenster onder Beveiliging op Huidig logboek filteren.
  1. Voer in het pop-up venster de gewenste Gebeurtenis-ID* in het veld (alle Gebeurtenis-ID's).

De volgende gebeurtenis-ID's worden gegenereerd voor de opgegeven gebeurtenissen:

Gebeurtenis-ID Gebeurtenistype Beschrijving
5136 Geslaagd Een adreslijstservice-object is gewijzigd.
5137 Geslaagd Er is een adreslijstservice-object gemaakt.
5138 Geslaagd De verwijdering van een adreslijstservice-object is ongedaan gemaakt.
5139 Geslaagd Er is een adreslijstservice-object verplaatst.
5141 Geslaagd Er is een adreslijstservice-object verwijderd.
  1. Klik op OK. Hiermee krijgt u een lijst met alle gevallen waarin de opgegeven gebeurtenis-ID is opgetreden.
  2. Dubbelklik op een gebeurtenis-ID om de eigenschappen (beschrijving) ervan te bekijken.

Gebeurtenis 5137 wordt geregistreerd wanneer een groepsbeleidsobject wordt gemaakt. De volgende gegevens worden onder andere geregistreerd in de eigenschappen van de gebeurtenis:

  • De onderscheidende naam van het object dat is gewijzigd.
  • De SID en naam van het account dat de bewerking heeft aangevraagd.
  • Het objectkenmerk dat is gewijzigd.
  • Het type bewerking dat op het GPO is uitgevoerd, d.w.z. of er een waarde aan het GPO is toegevoegd of verwijderd.

Beperkingen van systeemeigen auditing:

  • Om kritieke gebeurtenissen bij te houden, zou een beheerder naar elke gebeurtenis-ID moeten zoeken en de eigenschappen ervan moeten bekijken. Dit is zelfs voor een kleine organisatie zeer onpraktisch.
  • Het inzicht dat systeemeigen auditing biedt, is onvoldoende. Zelfs als de beheerder de gebeurtenissen bijhoudt, kan deze nog steeds niet weten of een wijziging een teken is van atypisch gebruikersgedrag.
  • De hierboven aangegeven gebeurtenissen tonen alleen de naam van het GPO en niet de oude en nieuwe waarden van het gewijzigde GPO.
  • Een wijziging in het groepsbeleid kan worden uitgevoerd vanaf elke DC in het domein. Een beheerder zou gebeurtenissen op elke DC moeten controleren, wat een buitensporige hoeveelheid werk is. Een gecentraliseerd hulpprogramma om gebeurtenissen van alle datacenters te controleren zou het werk enorm verminderen.
Download een gratis proefperiode van 30 dagen

Stappen om wijzigingen in groepsbeleid te controleren met ManageEngine ADAudit Plus

  1. Open de ADAudit Plus-console en meld u aan als beheerder.
  2. Navigeer naar Reports > Active Directory > GPO Management > Recently Modified GPOs.
1
 

Controleer het aanmaken, verwijderen en wijzigen van GPO's in realtime met gedetailleerde rapporten.

2
 

Controleer alle koppelingen die zijn toegevoegd aan of verwijderd uit Groepsbeleidsobjecten om de nodige herstelmaatregelen te kunnen nemen.

Controleer het aanmaken, verwijderen en wijzigen van GPO's in realtime met gedetailleerde rapporten.
Controleer alle koppelingen die zijn toegevoegd aan of verwijderd uit Groepsbeleidsobjecten om de nodige herstelmaatregelen te kunnen nemen.

 

1
 

Bekijk de waarden van gewijzigde GPO-instellingen en analyseer ongewenste GPO-wijzigingen, indien aanwezig, met oude en nieuwe waarden.

2
 

Ontvang e-mail- of sms-meldingen bij kritieke GPO-wijzigingen en automatiseer scripts die in dergelijke gevallen moeten worden uitgevoerd.

Bekijk de waarden van gewijzigde GPO-instellingen en analyseer ongewenste GPO-wijzigingen, indien aanwezig, met oude en nieuwe waarden.
Ontvang e-mail- of sms-meldingen bij kritieke GPO-wijzigingen en automatiseer scripts die in dergelijke gevallen moeten worden uitgevoerd.

Voordelen van het gebruik van ADAudit Plus ten opzichte van systeemeigen auditing:

  • ADAudit Plus biedt gedetailleerd inzicht in de wijzigingen in het groepsbeleid die zijn aangebracht op elke DC in uw domein. Ontvang uitgebreide rapporten over wie, wanneer en wat er is gewijzigd in GPO's, die in realtime worden bijgewerkt.
  • Met de rapporten die zijn gegroepeerd onder wijzigingen in GPO-instellingen kunt u meer gedetailleerde, afzonderlijke rapporten bekijken voor elke subcategorie van GPO's. Bijvoorbeeld wachtwoordbeleid, beleid voor accountvergrendeling, beheersjablonen, toewijzing van gebruikersrechten, enz.
  • Bekijk wijzigingen die zijn aangebracht in de toegangscontrolelijst (ACL) van groepsbeleidsregels en bekijk de oude en nieuwe ACL-waarden onder Wijzigingen in machtigingen van groepsbeleid.
Download een gratis proefperiode van 30 dagen

Zie ook: Instructies

ADAudit Plus Trusted By