Wie man erkennt, wer ein Gruppenrichtlinienobjekt gelöscht hat

Gruppenrichtlinienobjekte (GPOs) können Konfigurationen für den Zugriff auf gemeinsam genutzte Ressourcen und Geräte bereitstellen, kritische Funktionen aktivieren oder sichere Umgebungen schaffen. Wenn einige der GPOs gelöscht werden, können Benutzer möglicherweise nicht auf das Internet zugreifen, ihre Daten ändern, Peripheriegeräte verwenden oder sich sogar an ihren Systemen anmelden. Das Löschen von GPOs, die sich mit Zugriffskontrolle, Authentifizierung und anderen Sicherheitsrichtlinien befassen, kann die Anfälligkeit der Systeme erhöhen und unbefugten Zugriff ermöglichen.

Wie erkennt man, wer ein GPO mit nativen Überwachungstools gelöscht hat?

1. Führen Sie GPMC.msc aus > öffnen Sie „Default Domain Policy“ > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen:

• Erweiterte Audit Policy Konfiguration > Überwachungsrichtlinien > Objektzugriff > Dateisystemüberwachung > Definieren > Erfolge und Fehler
• Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > Objektzugriff > Überwachung der Handle-Manipulation > Definieren > Erfolge und Fehler
• Lokale Richtlinien > Überwachungsrichtlinie > Zugriff auf Verzeichnisdienst überwachen > Definieren > Erfolge und Fehler
• Ereignisprotokoll > Definieren > Maximale Sicherheitsprotokollgröße auf 1 GB und Aufbewahrungsmethode für Sicherheitsprotokolle auf 'Ereignisse bei Bedarf überschreiben'.

2. Öffnen Sie ADSI Edit > Verbinden Sie mit dem Standardnamenskontext > DC=Domänenname > CN=System > Rechtsklick auf „CN=Richtlinien“ > Eigenschaften > Sicherheit (Registerkarte) > Erweitert > Überwachung (Registerkarte) > Klicken Sie auf „Hinzufügen“ > Wählen Sie die folgenden Einstellungen:

• Principal: Jeder; Typ: Erfolg; Gilt für: Dieses Objekt und alle untergeordneten Objekte; Berechtigungen: Löschen von Group Policy Container-Objekten > Klicken Sie auf „OK“.

3. Navigieren Sie zum \domainnamesysvoldomainfqdn > Rechtsklick auf den Ordner „Policies“ und wählen Sie „Eigenschaften“.

4. Wählen Sie den Reiter „Sicherheit“ > „Erweitert“-Schaltfläche > „Überwachung“-Reiter > Klicken Sie auf „Hinzufügen“.

5. Wählen Sie Prinzipal: „Jeder“; Wählen Sie „Typ: Alle“; Wählen Sie „Gilt für: Diesen Ordner, Unterordner und Dateien“; Wählen Sie die folgenden „Erweiterten Berechtigungen“: Attribute schreiben; Erweiterte Attribute schreiben; Löschen; Unterordner und Dateien löschen; Klicken Sie dreimal auf „OK“.

6. Um zu definieren, welche Gruppenrichtlinie gelöscht wurde, filtern Sie das Sicherheitsereignisprotokoll nach Event ID 4663 (Aufgabenkategorie – „Dateisystem“ oder „Wechselmedien“) und suchen Sie nach dem String „Objektname:“, wo Sie den Pfad und die GUID der gelöschten Richtlinie finden können und das Feld „Kontoname“ enthält Informationen darüber, wer sie gelöscht hat.

Erfahren Sie jetzt wie Sie in 2 Schritten herausfinden, wer ein Gruppenrichtlinienobjekt gelöscht hat >>