Active-Directory-Tipp: 7 bewährte Praktiken zum AD-Auditing

Eine proaktive Überwachung der Active-Directory(AD)-Umgebung unterstützt IT-Administratoren dabei, ihr Unternehmen besser gegen Cyberbedrohungen zu schützen. Dabei sollten möglichst alle AD-Aktivitäten überwacht werden, damit verdächtige Änderungen sofort erkannt und umgehend Abhilfemaßnahmen ergriffen werden können. Nur so besteht die Chance, Angriffe zu vereiteln und den Schaden zu begrenzen.

Wir haben sieben Best Practices rund um das Thema AD-Auditing für Sie zusammengestellt. Diese unterstützen Sie dabei, alle Änderungen in Ihrem Active Directory im Auge zu behalten:

  1. Robuste Audit-Richtlinien
  2. Auditing auf Objektebene
  3. Überwachung von Änderungen an Gruppenmitgliedschaften
  4. Änderungen an Gruppenrichtlinienobjekten überwachen
  5. Kontosperrungen überwachen
  6. Passwortänderungen im Auge behalten
  7. Kritische Ereignisse erkennen

Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

Mit der AD-Change-Management-Lösung ADAudit Plus können Sie alle Änderungen an AD-Objekten übrigens einfach auditieren und überwachen. So lässt sich beispielsweise jederzeit von einer zentralen Konsole aus nachvollziehen, wer wann und wo welche Änderung an einer Organisationseinheit vorgenommen hat.

1. Konfigurieren Sie eine robuste Audit-Richtlinie

Der erste Schritt zur Überwachung Ihres Active Directorys besteht darin, sicherzustellen, dass für jede Aktivität in Ihrer Umgebung die entsprechenden Ereignisse im Sicherheitsprotokoll (Security Log) in Windows protokolliert werden. Die dazu notwendigen Einstellungen können Sie über die „Erweiterte Überwachungsrichtlinienkonfiguration“ in der Gruppenrichtlinienverwaltungs-Konsole (Group Policy Management Console (GPMC)) vornehmen (siehe Tipp).
Mit den richtigen Einstellungen können Sie Ereignisse granular sammeln und das „Grundrauschen“ der für Sie nicht relevanten Events eliminieren. Sie sollten bei der Konfiguration der Audit-Richtlinie allerdings auch auf eine angemessene Größe des Sicherheitsprotokolls und eine flexible Aufbewahrungsrichtlinie achten, um Informationsverluste und Überschreibungen zu verhindern.

Tipp:
Weitere Informationen zur Aktivierung der Überwachungsrichtlinie für Ihre Domäne finden Sie hier.

Welche Ereignisse (Events) dabei genau protokolliert werden sollen, lässt sich in den Überwachungsrichtlinien der jeweiligen Domäne festlegen. Anmeldeversuche und -ereignisse, Kontoverwaltungsaktivitäten und Richtlinienänderungen sind nur einige Beispiele für Aktivitäten, die im Security Log aufgezeichnet werden können. Eine detailliertere Übersicht sowie weitere Tipps rund um die Aufbewahrung der Security Logs finden Sie hier.

2. Aktivieren Sie ein Auditing auf Objektebene

Ein Auditing auf Objektebene ermöglicht es Ihnen, alle Änderungen an Ihren AD-Objekten, Dateien und Ordnern zu überwachen. Um die Überwachung von Verzeichnisobjekten zu aktivieren, sollten Sie die Systemzugriffssteuerungsliste (System Access Control Lists (SACLs)) zusammen mit der erweiterten Überwachungsrichtlinie (siehe 1.) entsprechend konfigurieren. Auf diese Weise wird bei jeder AD-Objekt- oder Datei-Aktivität ein Ereignisse protokolliert, so dass Sie – am besten in Kombination mit einer guten AD-Auditing-Lösung wie ADAudit Plus – stets alle Änderungen überwachen können.

Zusatztipp:
Wie Sie das Auditing für Objektzugriffs-Ereignisse für File Server über die System Access Control List (SACL) aktivieren, haben wir hier beschrieben.

3. Behalten Sie Änderungen der Gruppenmitgliedschaft im Auge

Sicherheitsgruppen regeln die Berechtigungen und Privilegien von Benutzern in Ihrer AD-Umgebung. Unbefugte Änderungen an den Mitgliedschaften in privilegierten Gruppen (z. B. Domänen-Administratoren und Unternehmens-Administratoren) können auf eine Sicherheitsverletzung hinweisen. Daher sollten Sie privilegierte Gruppen kontinuierlich überwachen, um solche Änderungen sofort zu erkennen und darauf reagieren zu können.

Tipp: Änderungen an Gruppen mit ADAudit Plus überwachen

ADAudit Plus bietet verschiedene Berichte, mit denen Sie unter anderem Änderungen an Sicherheitsgruppen einfach und schnell überwachen können (z. B. „Recently Created Security Groups“, „Recently Deleted Security Groups“, „Recently Removed Members from Security Groups“, „Recently Added Members to Security Groups”).

Für einen schnellen Überblick über alle Änderungen an Gruppen empfehlen wir Ihnen den Bericht „Recently Modified Groups“, der Ihnen alle Änderungen an Gruppenobjekten oder -berechtigungen inklusive Namen der Mitglieder, Gruppentyp und Details zu den Änderungen anzeigt.

So sehen Sie in ADAudit Plus, welche Gruppenmitgliedschaften verändert wurden:

  • Melden Sie sich bei ADAudit Plus an.
  • Wechseln Sie zum Reiter Reports und rufen Sie unter Group Reports den Recently Modified Groups Report auf.
Screenshot ADAudit Plus: Recently Modified Groups Bericht
Screenshot ADAudit Plus: Der Bericht “Recently Modified Groups” zeigt Ihnen auf einen Blick, welche Gruppen kürzlich verändert wurden.

Übrigens:
Sie können sich mit ADAudit Plus auch einen Alarm einrichten, der Sie umgehend per E-Mail über Änderungen an Gruppenmitgliedschaften informiert (siehe 7.)

4. Verfolgen Sie Änderungen an Gruppenrichtlinienobjekten (GPOs)

Gruppenrichtlinienobjekte (Group Policy Objects, kurz GPOs) ermöglichen es Administratoren, Cybersecurity-Kontrollen von einem zentralen Ort aus anzuwenden und festzulegen, welche Aktionen Benutzer im Netzwerk durchführen dürfen oder nicht. Da einige der GPO-Einstellungen domänenweite Auswirkungen haben, sollten Sie Änderungen an den Gruppenrichtlinienobjekten kontinuierlich überwachen, um eine Unterbrechung Ihrer AD-Dienste zu vermeiden.

Tipp: Änderungen an Group Policy Objekts mit ADAudit Plus überwachen

Mit den GPO-Management-Berichten in ADAudit Plus können Sie alle Änderungen an Gruppenrichtlinienobjekten einfach und komfortabel überwachen (z. B. “Recently Created GPOs“, „Recently Deleted GPOs”, „Recently Modified GPOs“, „Recently Undeleted GPOs“, „GPO History“). Einen schnellen Überblick bietet Ihnen beispielsweise der Bericht „Recently Modified GPOs“, in dem Sie alle in der letzten Zeit vorgenommenen Änderungen an GPOs auf einen Blick sehen.

So sehen Sie in ADAudit Plus, welche Gruppenrichtlinienobjekte verändert wurden:

  • Melden Sie sich bei ADAudit Plus an.
  • Wechseln Sie zum Reiter Reports und rufen Sie unter GPO Management Reports den Recently Modified GPOs Report auf.
Die wichtigsten Berichte zu Änderungen an AD-Objekten in ADAudit Plus

5. Halten Sie Ausschau nach gesperrten Konten

Es ist normal, dass Benutzer gelegentlich aus ihren Konten ausgesperrt werden. Treten Kontosperrungen jedoch häufig auf, sollten Sie hellhörig werden: Dies kann auf Versuche hinweisen, Passwörter zu erraten – und dahinter steckt leider sehr oft ein Brute-Force-Angriff. Daher sollten Sie Kontosperrungen proaktiv überwachen, um verdächtige Aktivitäten in Ihrem Netzwerk möglichst frühzeitig zu erkennen.

Tipp:
Wie Sie die Ursache von Active-Directory-Kontosperrungen mit dem „Account Lockout Analyzer“-Bericht in ADAudit Plus mit wenigen Klicks herausfinden, haben wir hier detailliert beschrieben.

Screenshot ADAudit Plus: Account Lockout Analyzer
Screenshot ADAudit Plus: Der Bericht "Account Lockout Analyzer" listet Anwender auf, die ihr Passwort kürzlich geändert haben.

6. Behalten Sie den Überblick über Passwortänderungen

Änderungen oder Zurücksetzungen von Passwörtern sind ein weiterer Aspekt, den ein gutes AD-Auditing abdecken sollte. Wir empfehlen Ihnen, zunächst strenge Passwortrichtlinien einzuführen, die idealerweise von einer Lösung wie ADSelfService Plus auch konsequent durchgesetzt werden. Zusätzlich sollten Sie Kennwortänderungen kontinuierlich überwachen, damit Sie im Falle eines Angriffes sofort geeignete Gegenmaßnahmen ergreifen können. Darüber hinaus sollten Sie den Passwortänderungsverlauf bei privilegierten Konten im Blick behalten, um Anzeichen für eine mögliche Kompromittierung frühzeitig erkennen zu können.

Screenshot ADAudit Plus: Recently Password Changed Users Report
Screenshot ADAudit Plus: Der Bericht “Recently Password Changed Users” listet alle Anwender auf, die im ausgewählten Zeitraum ihr Passwort geändert haben.

Tipp: Passwortänderungen in ADAudit Plus überwachen

Der Bericht “Recently Password Changed Users” in ADAudit Plus zeigt Ihnen auf einen Blick, welche Anwender in der letzten Zeit ihre Passwörter geändert haben.
Sie finden den Bericht unter Reports > User Management.

7. Erkennen Sie kritische Ereignisse

Schon allein die enorme Anzahl der protokollierten Ereignisse kann Ihre Bemühungen bei der AD-Überwachung deutlich erschweren. Da nicht jedes Event Ihre Aufmerksamkeit erfordert, sollten Sie sicherstellen, dass die wirklich kritischen Ereignisse nicht in der Maße untergehen. Vor diesem Hintergrund empfehlen wir, einen Echtzeit-Warnmechanismus einzurichten, der Administratoren und Sicherheitsteams umgehend über verdächtige Änderungen im Active Directory informiert. Dies hilft, das AD-Auditing zu vereinfachen und das Netzwerk abzusichern.

Tipp:
Wie Sie sich in ADAudit Plus Alarme für bestimmte AD-Änderungen einrichten können, können Sie hier in Tipp 4 am Beispiel eines Alarms zu Änderungen an den Gruppenmitgliedschaften detailliert nachlesen.

Demo-Version ansehen
Jetzt kostenlos testen

Best Practices rund um das Active Directory:

5 Best Practices zu
Organisationseinheiten (OUs) im AD
5 Best Practices zur
Archivierung von Sicherheitsprotokollen
10 Best Practices für die
Verwaltung von Gruppenrichtlinien
8 Best Practices für
mehr AD-Sicherheit
mehr Tipps zu
ADAudit Plus

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren