Wie man Gruppenrichtlinienänderungen mit dem Sicherheitsereignisprotokoll überprüft

Netwrix Auditor für Active Directory

1. Netwrix Auditor starten → Navigieren Sie zu „Berichte“ → Erweitern Sie den Abschnitt „Active Directory“ → Gehen Sie zu „Gruppenrichtlinienänderungen“ → Wählen Sie „Alle Gruppenrichtlinienänderungen“ → Klicken Sie auf „Anzeigen“.
2. Wenn Sie diesen Bericht regelmäßig per E-Mail erhalten möchten, wählen Sie einfach die Option „Abonnieren“ und legen Sie den Zeitplan und die Empfänger fest.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Native Auditing

1. Um Änderungen an der Gruppenrichtlinie zu überwachen, müssen Sie zuerst das Auditing aktivieren: Führen Sie gpedit.msc unter dem Administrator-Konto aus → Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) → Bearbeiten Sie es → Gehen Sie zu "Computerkonfiguration" | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Erweiterte Überwachungsrichtlinienkonfiguration | Überwachungsrichtlinien/DS-Zugriff → Klicken Sie auf „Verzeichnisdienständerungen überwachen“ → Klicken Sie auf „Definieren“ → Wählen Sie „Erfolg“.
2. Verknüpfen Sie die neue GPO mit einer OU: Gehen Sie zu "Gruppenrichtlinienverwaltung" → Rechtsklicken Sie auf die OU → Wählen Sie "Vorhandene GPO verknüpfen" → Wählen Sie die von Ihnen erstellte GPO.
3. Wenden Sie Ihre Änderung an, indem Sie ein Gruppenrichtlinien-Update erzwingen: Gehen Sie zu "Gruppenrichtlinienverwaltung" → Rechtsklicken Sie auf die OU → Klicken Sie auf "Gruppenrichtlinien-Update".
4. Öffnen Sie ADSI Edit → Verbinden Sie sich mit dem Standardnamenskontext → Navigieren Sie zu CN=Policies,CN=System,DC=domain → Öffnen Sie das Objekt „Eigenschaften von Richtlinien“ → Wechseln Sie zur Registerkarte Sicherheit → Klicken Sie auf die Schaltfläche Erweitert → Wechseln Sie zur Registerkarte Überwachung → Fügen Sie das Prinzipal "Jeder" hinzu → Wählen Sie den Typ "Erfolg" → Für 'Anwenden auf' klicken Sie auf "Dieses Objekt und untergeordnete Objekte" → Wählen Sie unter Berechtigungen folgende Kontrollkästchen aus: „Create groupPolicyContainer objects“, „Löschen“, „Berechtigungen ändern“ und „Write versionNumber“ → Klicken Sie auf "OK".
5. Um Gruppenrichtlinienänderungen zu überprüfen, öffnen Sie den Ereignisanzeiger und suchen im Sicherheitsprotokoll nach der Ereignis-ID 5136 (die Kategorie Verzeichnisdienständerungen).

Überwachen Sie GPO-Änderungen, um abweichende Aktivitäten zu verfolgen

Ereignisse im Zusammenhang mit Gruppenrichtlinien werden im Sicherheitsprotokoll auf dem Microsoft Windows Server-Domänencontroller aufgezeichnet. Durch die Überprüfung dieser Protokolle können IT-Administratoren Änderungen an den Gruppenrichtlinien nachvollziehen. Obwohl jedoch die nativen Überwachungstools anzeigen, wann und wo jede Änderung stattgefunden hat, liefern sie keine kritischen Details, wie den Namen der geänderten Gruppenrichtlinie und die Art der durchgeführten Aktion. Um sicherzustellen, dass keine abweichende Aktivität unter Ihrem Radar durchrutscht, benötigen Sie zusätzliche Software, die mehr Einblick in die Änderungen Ihrer Gruppenrichtlinieneinstellungen bietet.

Netwrix Auditor for Active Directory bietet vollständige Transparenz darüber, was in Ihrem Active Directory vor sich geht, einschließlich detaillierter Audit-Berichte über Änderungen an der Gruppenrichtlinie. Die Anwendung liefert nicht nur die grundlegenden Informationen, die mit nativen Auditing-Tools verfügbar sind, sondern auch kritische Details wie den Namen der geänderten Gruppenrichtlinie, die Art der durchgeführten Änderung, welcher Benutzer die Änderung vorgenommen hat und die Werte vor und nach der Änderung. Diese Informationen ermöglichen es IT-Administratoren, Änderungen an der Gruppenrichtlinie vollständig zu verstehen, damit sie das Risiko des Missbrauchs sensibler Daten minimieren und die Einhaltung von Compliance sicherstellen können.