Auditing und Delegierung im Active Directory: Bordmittel versus externe Tools

    AD AuditingNachdem das Active Directory Dreh- und Angel­punkt für die Rechte­verwaltung in Microsoft-Umgebungen ist, sollten Admini­stratoren wissen, wer zu welchem Zeitpunkt die Mitgliedschaften in Gruppen geändert oder Privilegien an User delegiert hat. Die Windows-eigenen Tools taugen für diese Auf­gaben nur bedingt, während Dritt­anbieter hier meist bessere Mittel haben.

    Der Vergleich von Windows-Bordmitteln mit ADAudit Plus und ADManager Plus von ManageEngine war das erklärte Anliegen von zwei Vorträgen, die Derek Melber, seines Zeichens MVP für Active Directory, im Auftrag des Distributors MicroNova hielt. Auch wenn diese Gegenüberstellung natürlich im Sinne des Veranstalters ausgerichtet war, so musste der Referent dennoch keine exotischen Probleme bemühen, um die eng gesteckten Grenzen von Microsofts Werkzeugkasten zu demonstrieren.

    AD-Änderungen im Eventlog

    Vielmehr versuchte Melber mit Hilfe von Auditing ein paar konkrete Fragen zu beantworten, die sich Administratoren regelmäßig stellen sollten. Dazu gehört etwa die Information, wann zuletzt ein User in die Gruppe Administratoren aufgenommen bzw. daraus entfernt oder wann das Passwort für einen Managed Service Account geändert wurde. Aktiviert man zu diesem Zweck das Advanced Auditing für die betreffenden Ereignisse, dann werden diese in den Eventlog des jeweiligen Domänen-Controllers geschrieben.

    Die von Microsoft immer wieder empfohlene PowerShell überfordert viele Admins mit ihrer Komplexität.

    Bordmittel wie die Ereignisanzeige bieten dann zwar die Möglichkeit, eigene Ansichten einzurichten, um aus den dort gespeicherten Einträgen die gewünschten auszufiltern, aber der Vorgang ist umständlich, wenn man dafür erst alle benötigten Event-IDs ermitteln muss. Die anschließend erzeugte Übersicht bietet nur eine primitive und langsame Suchfunktion, wenn man das Ergebnis weiter eingrenzen möchte.

    Verteilte Security-Informationen

    In komplexen AD-Strukturen mit vielen DCs stellt sich natürlich das Problem, dass die Security-Events auf alle Maschinen verteilt sind und es praktisch unmöglich ist, diese separat zu sichten, um bestimmte Vorkommnisse zu entdecken.

    Aber unabhängig davon zeigen sich hier weitere Grenzen der Bordmittel, weil Windows aufgrund der relativ geringen Größenlimits für Logfiles schnell damit beginnt, ältere Einträge zu überschreiben. Entsprechend erhält man hier nur Auskünfte über einen relativ kurzen Zeitraum.

    Konsolidierung der Logs

    Ein naheliegender Ansatz ist in diesem Fall, ausgewählte Security-Events durch Forwarding auf einer Maschine zu konsolidieren. Nach der Konfiguration dieses Features steht man erneut vor der Aufgabe, in der Ereignisanzeige mit Event-IDs hantieren zu müssen, weil Windows ein Filtern auf Basis von Nachrichten nicht vorsieht.

    Unter diesen Umständen lässt sich unschwer absehen, dass spezialisierte Tools von Drittanbietern die gestellten Aufgaben deutlich besser bewältigen können. ManageEngine ist allein schon deswegen im Vorteil, weil es alle einschlägigen Log-Einträge permanent in einer eigenen Datenbank speichert und mehr als 100 vorgefertigte Reports bietet, mit denen sich sicherheits­relevante Informationen zum AD darstellen lassen.

    Unzureichendes Reporting von delegierten Rechten

    Ähnlich verhält es sich bei der Delegierung von Rechten an Benutzer, das Active Directory-Benutzer und -Computer noch relativ einfach macht - zumindest solange man solche Aufgaben an normale User übertragen will, die vom Wizard berücksichtigt werden. Schwieriger wird es danach, den Überblick darüber zu behalten, wem welche Privilegien verliehen wurden und diese bei Bedarf wieder zu entziehen.

    Hier führt der Weg entweder durch zahlreiche Kontextmenüs und Dialoge oder zu Kommandozeilen-Tools wie dsacls und PowerShell. Auch bei dieser Disziplin fällt es den meisten unabhängigen Herstellern von Werkzeugen für das AD-Management relativ leicht, bessere Alternativen bereitzustellen.

    Keine Kommentare