Suchen

Überwachungsrichtlinien unter Windows Server 2008 R2 Einbrüche ins Active Directory erkennen

Autor / Redakteur: Thomas Joos / Stephan Augsten

Mit Windows Server 2008 R2 hat Microsoft die Ereignisanzeige stark erweitert, doch darunter leidet auch die Übersicht. Überwachungsrichtlinien helfen dabei, Angriffe auf das Active Directory zu erkennen.

Firma zum Thema

Ein Administrator sollte wissen, wer sich im Active Directory tummelt.
Ein Administrator sollte wissen, wer sich im Active Directory tummelt.

Um Zugriffe auf das Active Directory zu überwachen besteht der erste Schritt darin, eine bestehende Richtlinie zu bearbeiten, die den Domänencontrollern zugewiesen ist. Hierfür bietet sich zum Beispiel die Default Domain Controller Policy an. Alternativ kann man auch eine neue Richtlinie erstellen und den Domänencontrollern zuweisen.

In den Richtlinien werden dann die zu überwachenden Ereignisse konfiguriert. Sobald die Domänencontroller die Einstellungen übernehmen, beginnen sie mit der Überwachung und speichern die Daten in der Ereignisanzeige. Diese müssen Administratoren allerdings entsprechend filtern oder so konfigurieren, dass eine automatische Antwort erfolgt.

Bildergalerie
Bildergalerie mit 9 Bildern

Sollen Sie auf Computern, Dateiserver oder Domänencontroller den Zugriff auf Dateien und Objekte überwachen, müssen Administratoren die entsprechenden Einstellungen in der Überwachungsrichtlinie festlegen. Diese findet sich in der Richtlinienüberwachung im Bereich „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien“.

Die Überwachung der Zugriffe auf das Dateisystem von Servern unterscheidet sich von der Überwachung der Objekte im Active Directory nicht besonders. Dazu aktivieren Administratoren die Option „Objektzugriffsversuche überwachen“. Neben Dateizugriffen überwachen Unternehmen mit dieser Einstellung auch Zugriffe auf Drucker.

In der Standardeinstellung ist die Überwachung zunächst nicht aktiviert. Nach der Aktivierung müssen Administratoren noch auswählen, ob erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokolliert werden sollen.

(ID:31681070)