Auditing: Administratoren im Active Directory überwachen

    , 05.01.2018
    Tags: , , ,

    Active Directory AuditingZu den kritischen Enti­täten im Active Directory gehören admini­strative Gruppen. Wenn sich deren Mit­glied­schaften oder die Pass­wörter von enthaltenen Konten ändern, dann sollte die System­verwaltung davon erfahren. Daher empfiehlt es sich, für diesen Zweck die Überwachungs­funktionen für den Verzeichnis­dienst zu aktivieren.

    Wenn sich Unbefugte Zugriff auf ein Firmen­netzwerk verschaffen wollen, dann versuchen sie fast immer, admini­strative Privilegien zu erlangen. Solche Machenschaften könnten sich darin äußern, dass Kennwörter eines Admin-Kontos ausprobiert bzw. geändert werden oder dass neue User in privilegierten Gruppen auftauchen.

    Gezielte Protokollierung von bestimmten Ereignissen

    Die Überwachungs­funktionen für das Active Directory kann man nicht nur verwenden, um pauschal alle Aktivitäten aufzuzeichnen. Vielmehr lassen sie sich relativ gut auf bestimmte Objekte und Aktionen einschränken, so dass die Menge der anfallenden Daten überschaubar bleibt.

    In unserem Beispiel soll es darum gehen, das Hinzufügen oder Entfernen von Konten bei den Domänen-Admins nachzu­verfolgen und Passwort­änderungen bei deren Mitgliedern zu erkennen.

    Wie schon beim NTFS-Auditing bedarf es dazu mehrerer Schritte. Zum einen müssen die benötigten Überwachungs­funktionen über Gruppen­richtlinien aktiviert werden. Danach konfiguriert man im Active Directory die im Security Descriptor der betreffenden Objekte enthaltene System Access Control List (SACL). Und schließlich geht es darum, die relevanten Events aus dem Security-Log anzuzeigen.

    Auditing mittels GPO aktivieren

    Die erste Aktion besteht mithin darin, das Auditing im AD mittels Gruppen­richtlinien zu starten. Nachdem wir hier keine lokalen Konten, sondern nur solche in einer AD-Domäne überwachen wollen, erstellen wir ein neues GPO und verlinken es mit der OU Domain Controllers.

    Anschließend muss es im GPO-Editor geöffnet und bearbeitet werden. Hier ist darauf zu achten, dass man ab Windows 7 und Server 2008 R2 nicht mehr die alten Einstellungen unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien verwenden sollte, sondern die neuen erweiterten Überwachungs­richtlinien.

    Diese findet man unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Erweiterte Überwachungs­richtlinien­konfiguration => Überwachungs­richtlinien.

    GPO-Einstellungen zum Überwachen von Änderungen im Active Directory

    Für unsere Aufgabe sind dort vor allem zwei Einstellungen von Interesse. Die eine ist unter DS-Zugriff und heißt Verzeichnis­dienst­änderungen überwachen, die andere findet sich unter Kontenverwaltung und lautet auf Benutzer­konten­verwaltung überwachen. Letztere protokolliert unter anderem, wenn Passwörter zurückgesetzt werden.

    In beiden Fällen muss man sich bei der Aktivierung entscheiden, ob man nur erfolgreiche, nur fehlgeschlagene oder beide Ereignistypen aufzeichnen möchte. Nachdem das erzeugte Daten­volumen für diese Überwachung nicht allzu hoch sein dürfte, wird man sich hier für alle zwei Varianten entscheiden.

    Wahlweise lassen sich erfolgreiche, gescheiterte oder beiderlei Aktionen überwachen.

    Zum Abschluss sorgt man mit einem gpupdate auf den jeweiligen Domänen-Controllern dafür, dass die neuen Einstellungen wirksam werden.

    Objekte im AD für Überwachung konfigurieren

    Die Aktivierung des Auditing über die Gruppen­richtlinien ist zwar eine notwendige Voraus­setzung, bewirkt aber für sich alleine noch keine Aufzeichnung von Aktivitäten. Vielmehr müssen zusätzlich die SACL der überwachten Objekte konfiguriert werden, weil sie die Audit-Informationen enthalten.

    Für diese Aufgabe eignet sich Active Directory-Benutzer und -Computer. Hier öffnen wir die Eigen­schaften der Domäne oder wahlweise bloß des Containers Users, wechseln auf die Register­karte Sicherheit, klicken dort auf die Schaltfläche Erweitert und gelangen im folgenden Dialog schließlich auf die Registerkarte Überwachung.

    Neuen Überwachungseintrag im AD hinzufügen

    Hier können wir nun bestimmen, welche Aktionen für welche Eigenschaften der betreffenden Objekte protokolliert werden sollen. Dazu wählen wir unter Prinzipal die Gruppe der Domänen-Admins aus und entscheiden uns danach, ob wir erfolgreiche, fehlgeschlagene oder beide Typen von Aktionen mitschneiden. Diese Auswahl wird man sinnvoller­weise so treffen wie zuvor beim GPO.

    Neuen Überwachungseintrag für Domänen-Admins konfigurieren

    Bei einem neuen Überwachungs­eintrag sind schon vorab mehrere Attribute und dazugehörige Aktivitäten aktiviert. In den meisten Fällen wird diese Standard­konfiguration passen, ansonsten kann man selbst bis ins Detail festlegen, worauf sich das Auditing beziehen soll.

    Ereignisse auswerten

    Ab nun zeichnet das Active Directory alle ausgewählten Aktionen für die Domänen-Admins auf und generiert dabei auf jedem Domänen-Controller Einträge im Security-Log. Es gibt somit per se keine zentrale Sicht auf die proto­kollierten Ereignisse. In kleinen Umgebungen mag es noch angehen, die DCs einzeln zu prüfen, aber in den meisten Fällen wird man nicht darum herum­kommen, die Log-Einträge auf einem Rechner zu konsolidieren.

    Für die eigentliche Auswertung kann man dann Bordmittel wie die Ereignisanzeige oder PowerShell heranziehen. Für Erstere würde man eine benutzer­definierte Ansicht erstellen, wobei man Events für das User Account Management zwischen 4720 und 4798 sowie zwischen 5136 und 5141 für Änderungen im AD abfragen sollte.

    Benutzerdefinierte Ansicht in der Ereignisanzeige anlegen für Audit-Events des AD

    Mit PowerShell ließen sich solche Ereignisse nach diesem Muster ausfindig machen:

    Get-EventLog -LogName Security -Source "*auditing*" `
    -ComputerName <DomainController> -InstanceId (4720 .. 4790) -Newest 10

    Dieser Aufruf nutzt den Bereichs­operator von PowerShell, um die Event-IDs von 4720 bis 4790 an den Parameter InstanceID zu übergeben. Für die Ereignisse von 5136 bis 5141 würde man einen entsprechenden weiteren Befehl absetzen. Der Parameter Newest 10 schränkt das Ergebnis auf die letzten 10 Einträge ein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Klaus (Besucher) sagt:
    11. September 2020 - 9:54

    Hallo,

    gibt es auch einen Weg mit dem Audit herauszufinden ob Zugriffe auf AD Gruppen erfolgen?
    Wir haben eine ganze Menge veraltete Gruppen wo unklar ist ob diese noch verwendet werden.

    Danke & Gruß
    Klaus