Eine weitere Funktion die im Windows Server 2008 erweitert wurde, ist die Möglichkeit der Protokollierung.
Was in Windows 2000 oder Windows Server 2003 noch spärlich war, wurde im neuen Server-Betriebssystem verfeinert.
Früher wurde lediglich protokolliert, wer welches Objekt bzw. Attribut verändert hat. Die eigentlichen Werte
(alter Wert/neuer Wert) blieben aber einem verborgen. Dieses Verhalten wurde im Windows Server 2008 geändert
und man bekommt nun detailliert in der Ereignisanzeige die veränderten Werte zu sehen.
Hinweis: Eine Protokollierung ist vom Betriebsrat/Datenschutzbeauftragten zu genehmigen!
In Windows 2000 und Windows Server 2003 existiert lediglich die globale Überwachungsrichtlinie, die unter Windows 2000 Active Directory-Zugriff überwachen
und unter Windows Sever 2003 Verzeichnisdienstzugriff überwachen lautet. In Windows Server 2008 existiert die globale Überwachungsrichtlinie weiterhin,
die jedoch in weitere vier Unterkategorien unterteilt wurde.
Die Unterkategorien wären:
Verzeichnisdienständerungen (Directory Services Changes)
Verzeichnisdienstreplikation (Directory Services Replication)
Detaillierte Verzeichnisdienstreplikation (Detailed Directory Services Replication)
Verzeichnisdienstzugriff (Directory Services Access)
Somit kann der Administrator gezielter einen der verfügbaren Bereiche überwachen, ohne von den restlichen Bereichen
die ihn ohnehin nicht interessieren, unnötig mit Informationen überflutet zu werden. Das bringt aber einen Nachteil mit sich.
Wenn man lediglich z.B. die Unterkategorie Verzeichnisdienständerungen (wahrscheinlich die meist gewünschten Informationen)
konfigurieren möchte, muss man das auf jedem einzelnen DC in der Domäne durchführen. Diese Einstellung wird nicht repliziert.
Wird dagegen die globale Richtlinie <Verzeichnisdienstzugriff überwachen> in der Default Domain Controllers Policy konfiguriert,
werden automatisch auch alle Unterkategorien mit den eingestellten Optionen aktiviert. Diese Einstellungen wiederum,
werden auf alle DCs in der Domäne repliziert.
Wenn danach die globale Richtlinie wieder in ihren Ursprungszustand Nicht definiert gebracht wird, werden dabei nicht die
Unterkategorien mit in ihren Ursprungszustand versetzt. Diese bleiben mit ihren aktuell gesetzten Einstellung weiterhin bestehen.
Die globale Überwachungsrichtlinie in Windows Server 2008 ist standardmäßig nicht definiert. Lediglich die Unterkategorie
Verzeichnisdienstzugriff ist als einzige, standardmäßig mit der Option Erfolgreich und zwar auf jedem DC aktiviert.
Idealerweise konfiguriert man die globale Richtlinie mit den gewünschten Optionen,
in der Default Domain Controllers Richtlinie unter:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\
Überwachungsrichtlinie\<Verzeichnisdienstzugriff überwachen>.
Die Unterkategorie Verzeichnisdienstzugriff im Windows Server 2008, spiegelt im Prinzip die globale Richtlinie aus
Windows 2000/Windows Server 2003 wieder. Lediglich die Ereignis-ID ändert sich unter Windows Server 2008 jedoch von 566 zu 4662.
Zum konfigurieren der Unterkategorien muss nicht die globale Richtlinie definiert werden. Diese lassen sich auch einzeln konfigurieren.
Die Unterkategorien lassen sich aber weder in einer GUI anzeigen, noch in einer GUI konfigurieren. Diese lassen sich ausschließlich
über die Kommandozeile anzeigen sowie konfigurieren. Das Kommandozeilen-Tool das dafür verwendet wird lautet Auditpol.
Wie bei allen Kommandozeilen Tools von Microsoft, lässt sich die Liste der verfügbaren Parameter mit dem Befehl „Auditpol /?“ anzeigen.
Mit den erweiterten Protokollierungsmöglichkeiten in Windows Server 2008, werden nun die Werte in den Attributen,
vor- und nach dem verändern aufgezeichnet. Oder wenn ein Objekt innerhalb einer Domäne verschoben wird,
wird der Distinguished Name (DN) des alten sowie neuen Standorts vom Objekt protokolliert. Falls das Objekt in eine andere
Domäne verschoben werden sollte, wird auf dem Ziel-DC das erstellen eines Objekts protokolliert (sofern konfiguriert).
Das sind nur ein paar Beispiele, es gibt aber noch einige mehr.
Hinweis: Bei einer Kennwort-Änderung wird weder das alte, noch das neue Kennwort protokolliert!
Die neuen Protokollierungsmöglichkeiten, die der Windows Server 2008 mit sich bringt, werden durch die globale
Überwachungsrichtlinie (samt Unterkategorien), der System Access Control List (SACL) eines Objekts sowie durch
das Schema (genauer, durch das Attribut Search-Flags des jeweiligen Objekts) implementiert.
Die Änderungen die an einem Sicherheitsprinzipal (wie es z.B. ein Benutzer-Objekt darstellt) protokolliert werden,
wären: Das erstellen von Objekten, Änderungen, verschieben oder wiederherstellen von Objekten.
Die Informationen werden dabei im Sicherheitsprotokoll der DCs protokolliert.
Eine Objektänderung wird z.B. mit der Unterkategorie „Verzeichnisdienständerungen“ protokolliert.
Die Unterkategorien lassen sich mit folgendem Befehl anzeigen:
Auditpol /list /subcategory:DS-Zugriff
Möchte man sich die Unterkategorien mit den eingestellten Optionen anzeigen lassen,
so lässt sich dies, mit diesem Befehl herausfinden:
Auditpol /get /category:DS-Zugriff
Der folgende Befehl zeigt an, mit welcher Option eine Unterkategorie aktiviert ist:
Auditpol /get /subcategory:<Unterkategorie>
Die Unterkategorie Verzeichnisdienständerungen lässt sich mit der Option Erfolgreich, mit diesem Befehl aktivieren:
Auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable
Soll hingegen neben den erfolgreichen, auch die fehlgeschlagenen Versuche einer Verzeichnisdienständerung
aufgezeichnet werden, so konfiguriert man das mit diesem Befehl:
Auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable /failure:enable
Alle Unterkategorien lassen sich mit diesem Befehl zurücksetzen:
Auditpol /clear
Wird ein Objekt bearbeitet, so protokolliert die Ereignisanzeige die Event-ID 5136.
Beim erstellen eines Objekts, wird im Ereignisprotokoll die Event-ID 5137 verzeichnet.
Wenn ein Objekt wiederhergestellt wird, zeichnet das Ereignisprotokoll die Event-ID 5138 auf.
Das verschieben eines Objekts, wird die Event-ID 5139 protokolliert.
Möchte man z.B. den Standard-Container Users bezgl. Änderungen überwachen, so gilt es diese Punkte auszuführen:
Zuerst ist die Unterkategorie Verzeichnisdienständerungen mit der gewünschten Option
(erfolgreich und/oder fehlgeschlagen) auf allen DCs zu aktivieren.
Oder wer möchte, aktiviert die globale Richtlinie Verzeichnisdienstzugriff überwachen in der Default Domain Controllers Richtlinie.
In den Eigenschaften des Containers Users gilt es im Reiter Sicherheit die erweiterten Sicherheitseinstellungen
aufzurufen. Dort angelangt, kann im Reiter Überwachung der zu überwachende Benutzer bzw. die Gruppe hinzugefügt
und die zu überwachenden Einstellungen ausgewählt werden.
Anschließend kann auf dem DC unter dem Punkt Windows-Protokolle, im Sicherheitsprotokoll der Ereignisanzeige,
die Aufzeichnungen kontrolliert werden.
In einer Umgebung mit mehreren DCs müsste man nun auf jedem einzelnen DC das Sicherheitsprotokoll überprüfen.
Diese Arbeit kann man sich mit einem professionellen Werkzeug, wie es z.B. der Microsoft Operations Manager – kurz MOM –
darstellt, erleichtern. Sicherlich werden aber noch kostenlose Tools folgen bzw. bereits verfügbare Tools (EventComBMT)
für den Windows Server 2008 aktualisiert und freigegeben.
Weitere Informationen:
Security audit events for Microsoft Windows Server 2008 and Microsoft Windows Vista
Windows Server 2008 Auditing AD DS Changes Step-by-Step Guide
One-Stop Shop for Auditing in Windows Server 2008 and Windows Vista
Security audit events for Microsoft Windows Server 2008 and Microsoft Windows Vista
Special Groups Auditing via Group Policy Preferences
Verzeichnisdienstzugriff überwachen
Security auditing settings are not applied to Windows Vista client computers when you deploy a domain-based policy
How to use Group Policy to configure detailed security auditing settings for Windows Vista client computers in a Windows Server 2003 domain or in a Windows 2000 domain
HOW TO: Audit Active Directory Objects in Windows 2000
Comments are closed, but trackbacks and pingbacks are open.