Active Directory.pdf - Gattner

Implementieren der Sicherheit für Domänencontroller 305
Hinweis Diese Unterkategorien sind im Gruppenrichtlinienverwaltungs-Editor nicht sichtbar. Zum Anzeigen
und Konfigurieren der Unterkategorien können Sie das Befehlszeilenprogramm Auditpol.exe verwenden.
Um die aktuellen Überwachungseinstellungen für den Verzeichnisdienstzugriff anzuzeigen, geben Sie
Folgendes ein: Auditpol /get /category:“ds access”.
Aus der Sicht der Sicherheitsüberwachung ist die wichtigste neue Funktion die Unterkategorie Verzeichnisdienständerungen.
Diese neue Unterkategorie fügt die folgende Funktionalität hinzu:
• Wenn Sie ein Attribut für ein Objekt ändern, protokollieren die AD DS den vorherigen und den
aktuellen Wert des Attributs. Wenn das Attribut mehrere Werte besitzt, werden nur die Werte protokolliert,
die sich als Ergebnis des Änderungsvorgangs ändern.
• Wird ein neues Objekt erstellt, werden die Werte der Attribute protokolliert, die zum Zeitpunkt
der Erstellung aufgefüllt werden. Wenn Attribute während des Erstellungsvorgangs hinzugefügt
werden, erfolgt eine Protokollierung dieser neuen Attribute. In den meisten Fällen weisen die AD
DS den Attributen Standardwerte (wie samAccountName) zu. Die Werte solcher Systemattribute
werden nicht protokolliert.
• Wenn ein Objekt innerhalb der Domäne verschoben wird, werden der bisherige und der neue
Speicherort (in Form des definierten Namens) protokolliert. Beim Verschieben eines Objekts in
eine andere Domäne wird ein Erstellungsereignis auf dem Domänencontroller in der Zieldomäne
generiert.
• Wird ein Objekt wiederhergestellt, wird der Speicherort protokolliert, an den das Objekt verschoben
wird. Wenn der Benutzer Attribute bei einem Wiederherstellungsvorgang hinzufügt, bearbeitet
oder löscht, werden auch die Werte dieser Attribute protokolliert.
Standardmäßig ist die Überwachungskategorie Verzeichnisdienstzugriff überwachen in der OU
Default Domain Controllers nicht aktiviert, die Unterkategorie Verzeichnisdienstzugriff hingegen ist
aktiviert. Diese Überwachungsrichtlinie protokolliert, wenn Administratoren auf Objekte in AD DS
zugreifen; die Änderungen an diesen Objekten werden jedoch nicht festgehalten. Um die Überwachung
von Verzeichnisdienständerungen zu aktivieren, können Sie die Option Verzeichnisdienstzugriff
überwachen in der Überwachungsrichtlinie der Standard-Domänencontrollerrichtlinieaktivieren.
Wenn Sie diese Option aktivieren, werden alle Unterkategorien ebenfalls aktiviert.
Um nur die Unterkategorie Verzeichnisdienständerungen zu aktivieren, müssen Sie das Befehlszeilenprogramm
Auditpol.exe verwenden und folgenden Befehl ausführen:
auditpol /set /subcategory:"directory service changes" /success:enable
In Windows Server 2008 werden außerdem Unterkategorien unter den anderen Überwachungskategorien
eingeführt. Die Kategorien, Unterkategorien und Standardeinstellungen für AD DS-spezifische
Überwachungseinstellungen sind in Tabelle 8.3 aufgeführt. Um diese Überwachungseinstellungen
anzuzeigen, geben Sie an einer Eingabeaufforderung den Befehl Auditpol /get /category:* ein.
Tabelle 8.3
Konfigurieren von Überwachungsrichtlinieneinstellungen für Domänencontroller
Kategorie Unterkategorie Standardeinstellung
Anmeldeereignisse Anmelden
Erfolg und Fehler
überwachen
Anmeldeereignisse Abmelden
Erfolg
überwachen
Kontosperrung
Erfolg