Suchen

Systemüberwachung mit Tools und Bordmitteln Sicherheit in Microsoft-Umgebungen überwachen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Geht es um die Analyse der Sicherheit in Microsoft-Umgebungen, greifen Administratoren oft auf teure,externe Lösungen zurück, dabei lässt sich in vielen Fällen schon mit den eingebauten Mitteln der Systeme viel erreichen. Wir zeigen in diesem Beitrag, wie man AD und Windows-Systeme mit Bordmitteln überwacht und welche praktischen Tools bei der Analyse helfen können.

Firma zum Thema

Administratoren von Windows-Umgebungen brauchen oft einen kompletten „Werkzeugkasten“ an eingebauten Funktionen und Tools, um den Überblick über die Systeme zu behalten.
Administratoren von Windows-Umgebungen brauchen oft einen kompletten „Werkzeugkasten“ an eingebauten Funktionen und Tools, um den Überblick über die Systeme zu behalten.
(© metamorworks - stock.adobe.com)

Um Netzwerke zu überwachen oder Geräte zu inventarisieren, gibt es vielfältige Lösungen und Tools. Geht es aber speziell darum die Sicherheit im Auge zu behalten, sind in vielen Fällen weitere Spezial-Tools notwendig, die in der Lage sind bestimmte Bereiche des Netzwerks bezüglich der Sicherheit zu überwachen.

Über den Eintrag Leistung in der Konsolenstruktur des Server-Managers kann die aktuelle Systemleistung eines Servers mit verschiedenen Tools und Ansichten angezeigt werden. Über den Link Ressourcenmonitor öffnen lässt sich eine detaillierte Ansicht des aktuellen CPU-Verbrauchs, des Arbeitsspeichers, der Datenträger und des Netzwerkverkehrs anzeigen. In Windows Server 2016/2019 ist das Programm über den Menüpunkt Tools im Server-Manager zu finden. Alternativ kann das Tool durch Eingabe von perfom /res gestartet werden.

Bildergalerie
Bildergalerie mit 11 Bildern

Bordmittel nutzen

Im Server-Manager von Windows-Servern ist der Best Practices Analyzer enthalten. Dieser kann jeden einzelnen Server, der an den Server-Manager angebunden ist, auf Sicherheitslücken hin überprüfen. Hier steht zwar keine Echtzeitüberwachung zur Verfügung, dafür können Administratoren in wenigen Minuten überprüfen, auf welchen Servern Probleme oder Konfigurationsfehler vorhanden sind, welche die Sicherheit verschlechtern.

Auf Basis der einzelnen Server und Gruppen lassen sich anschließend Überprüfungen des Best Practices Analyzers durchführen. Über „Verwalten\Servergruppe erstellen“ können aber auch eigene Gruppen erstellt werden. So lassen sich zum Beispiel bestimmte Server eines Workloads oder eines Rechenzentrums zu Gruppen zusammenfassen und mit dem BPA überwachen.

Auch Windows Server 2019 wird mit dem Best Practices Analyzer im Server-Manager ausgestattet und ermöglicht die gleichen Funktionen wie Windows Server 2016. In Windows Server 2019 lassen sich Server aber auch mit dem neuen Windows Admin Center überwachen. Zwar lassen sich bereits jetzt auch Server mit Windows Server 2016 an das Windows Admin Center anbinden, allerdings sind hier keine Möglichkeiten für den Best Practices Analyzer enthalten. Ob das geändert werden soll ist aktuell noch nicht klar. Allerdings bietet das Windows Admin Center die Erweiterung „Windows Server System Insights“. Diese Erweiterung bietet erweiterte Informationen zu Windows-Servern, ähnlich wie der Best Practices Analyzer.

Active Directory überwachen

Mit dem kostenlosen Active Directory Change Reporter lassen Änderungen in der Active Directory-Umgebung überwachen. Stellt das Tool Änderungen fest, können diese auch per E-Mail an vorherdefinierte Kontakte verschickt werden. Das Tool ist Bestandteil von „Entry-Level Tool to Audit Exchange Server Changes“.

Die Tool-Sammlung „Solarwinds Active Directory Admin Tools Bundle“ besteht aus verschiedenen Tools, die bei der Überwachung von AD eine wichtige Rolle spielen. Zu den Tools gehören das „SolarWinds-Inactive-Computer-Removal-Tool“, „SolarWinds-Inactive-User-Account-Removal-Tool“ und „SolarWinds-User-Import-Tool“.

Das Tool kann inaktive Benutzer- und Computerkonten erkennen und entfernen. Dadurch kann AD nicht nur überwacht, sondern auch gleich bereinigt werden. Administratoren sollten regelmäßig überprüfen, welche Benutzer in Active Directory nicht mehr aktiv sind. Dazu kann auf dem Domänencontroller der Befehl „dsquery user -inactive <Anzahl der Wochen>“ genutzt werden.

Serverdienste und WSUS überwachen

Solarwinds bietet auch ein Tool an, mit dem sich WSUS überwachen lässt. Das Diagnostic Tool for the WSUS Agent kann überprüfen, ob ein Server an WSUS korrekt angebunden ist und Updates empfangen kann. WSUS bietet auch intern verschiedene Berichte, mit denen sich der Sicherheitszustand der Server und Computer sowie des WSUS-Servers selbst überwachen lassen. WSUS bietet auch intern verschiedene Berichte, mit denen sich der Sicherheitszustand der Server und Computer sowie des WSUS-Servers selbst überwachen lassen.

WSUS Tipps & Tricks
Bildergalerie mit 6 Bildern

AdInsight (Insight for Active Directory)

Mit AdInsight können LDAP-Verbindungen eines Servers in Echtzeit analysiert werden. Das Tool zeigt den Netzwerkverkehr, alle Anfragen von Clients an den Domänencontroller, und Daten die der Domänencontroller blockiert. Über das Menü kann der aktuellen Scanvorgang abgespeichert werden. Mit „File/Export to Text“ lässt sich die Ausgabe als Textdatei exportieren. Die verschiedenen Anzeigen lassen sich farblich hervorheben.

Ereignisanzeigen überwachen

Auf Windows-Servern entstehen ständig Einträge in den Ereignisanzeigen. Bei einer Überwachung von Microsoft-Umgebungen sollten die Ereignisanzeigen mit einbezogen werden. Das Tool EvenSentry ist dabei eine wertvolle Hilfe.

In vielen Fällen reichen auch kostenlose Tools wie Eventlog Inspector. Auch dieses Tool kann E-Mail-Benachrichtigungen verschicken und Einträge in den Ereignisanzeigen filtern. Hier gibt es verschiedene Möglichkeiten für die Erstellung von Regeln.

Mit der Freeware MyEventViewer von Nirsoft, erhalten Administratoren in erster Hinsicht ein Werkzeug, dass Ereignisse übersichtlicher darstellen kann, als die Standardanzeige. Das Tool muss nicht installiert werden.

(ID:45490507)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist