Wie man Benutzerkontenänderungen in Active Directory erkennt

Netwrix Auditor for Active Directory

1. Netwrix Auditor starten → Navigieren Sie zu "Berichte" → Erweitern Sie den Abschnitt "Active Directory" → Gehen Sie zu "Active Directory Änderungen" → Wählen Sie "Benutzerkontenänderungen" → Klicken Sie auf "Anzeigen".

Wenn Sie diesen Bericht regelmäßig per E-Mail erhalten möchten, wählen Sie einfach die Option „Abonnieren“ und legen Sie den Zeitplan und die Empfänger fest.

Native Auditing

1. Aktivieren Sie die Überwachungsrichtlinien in der Gruppenrichtlinienobjekt 'Default Domain Controller Security Policy'. Aktivieren Sie die Überwachungsrichtlinie 'Audit user account management'.
2. Suchen Sie nach Ereignis-ID 4720 (Benutzerkontoerstellung), 4722 (Benutzerkonto aktiviert), 4725 (Benutzerkonto deaktiviert), 4726 (Benutzerkonto gelöscht) und 4738 (Benutzerkonto geändert).
3. Beachten Sie, dass wenn Sie zunächst ein Benutzerkonto erstellen, AD das Konto als deaktiviert erstellt, mehrere anfängliche Aktualisierungen daran vornimmt und es dann sofort aktiviert. Daher werden Sie immer ein etwas fiktives Auftreten von 4722 in Verbindung mit jedem neu erstellten Konto sehen.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Überwachen Sie Benutzerkontenänderungen, um Eindringlinge schnell zu erkennen

Compliance- und Sicherheitsüberlegungen machen die Nachverfolgung von Benutzerkontenänderungen in Active Directory sehr wichtig. Modifikationen, die ein Zeichen für bösartige Aktivitäten sein können, umfassen eine große Anzahl neu erstellter AD-Benutzerkonten mit erweiterten Berechtigungen; eine große Anzahl inaktiver Benutzerkonten; AD-Benutzerkonten, die deaktiviert wurden oder verdächtige Änderungen aufweisen; und Konten, die nach einer langen Periode der Inaktivität plötzlich wieder aktiv geworden sind. Die kontinuierliche Überwachung solcher Änderungen hilft IT-Experten, bösartige Aktivitäten rechtzeitig zu erkennen und dadurch Datenlecks sensibler Daten zu vermeiden.

Netwrix Auditor for Active Directory erkennt Änderungen an AD-Benutzerkonten und stellt detaillierte Audit-Berichte bereit, die zeigen, wer jede Änderung vorgenommen hat und was geändert wurde. Ein E-Mail-Abonnement für den Active Directory Change Summary-Bericht wird Ihnen helfen, über alle Änderungen an Benutzerkonten in Active Directory informiert zu bleiben und bösartige Modifikationen zu erkennen, bevor sie zum Verlust sensibler Daten führen. In einigen Fällen kann Netwrix Auditor die Sicherheit noch weiter verstärken; zum Beispiel macht die Funktion zur Verfolgung inaktiver Benutzer automatisch inaktive Benutzerkonten für Eindringlinge unzugänglich, indem sie deaktiviert werden.