Wie man das Löschen von DNS-Einträgen überwacht

Netwrix Auditor für Windows Server

1. Netwrix Auditor starten → Navigieren Sie zu "Berichte" → Erweitern Sie den Abschnitt "Windows Server" → Gehen Sie zu "Änderungen am Windows Server" → Wählen Sie "DNS-Ressourceneintrag Änderungen" → Klicken Sie auf "Anzeigen".

Wenn Sie diesen Bericht regelmäßig per E-Mail erhalten möchten, wählen Sie einfach die Option "Abonnieren" und legen Sie den Zeitplan und die Empfänger fest.

Native Auditing

Führen Sie gpmc.msc aus → Bearbeiten Sie "Standarddomänenrichtlinie" → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinien → gehen Sie zu den "Eigenschaften" von Überwachung des Verzeichnisdienstzugriffs → Definieren → Erfolg.

1. Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Ereignisprotokoll → in den "Eigenschaften" der unten genannten Richtlinien definieren:
   • Maximale Sicherheitsprotokollgröße auf 1GB
   • Methode zur Aufbewahrung des Sicherheitsprotokolls, um Ereignisse bei Bedarf zu überschreiben.
2. Öffnen Sie ADSI Edit → Verbinden Sie sich mit dem Default naming context → Erweitern Sie das DomainDNS-Objekt mit dem Namen Ihrer Domain → System → Rechtsklick auf MicrosoftDNS → Eigenschaften → Sicherheit (Tab) → Erweitert (Button) → Überwachung (Tab) → Prinzipal hinzufügen "Jeder" → Typ "Erfolg" → Gilt für "Dieses Objekt und alle untergeordneten Objekte" → Berechtigungen → Wählen Sie die folgenden Kontrollkästchen aus: Alle Eigenschaften schreiben, Löschen, Teilbaum löschen → Klicken Sie auf "OK".
3. Öffnen Sie den DNS-Manager → Erweitern Sie Ihren Servernamen → Forward-Lookupzone → Klicken Sie mit der rechten Maustaste auf die Zone, die Sie überwachen möchten → Eigenschaften → Sicherheit (Registerkarte) → Erweitert (Schaltfläche) → Überwachung (Registerkarte) → Hinzufügen des Prinzipals „Jeder“ → Typ „Erfolg“ → Gilt für „Dieses Objekt und alle untergeordneten Objekte“ → Berechtigungen → Wählen Sie die folgenden Kontrollkästchen aus: Alle Eigenschaften schreiben, Löschen, Teilbaum löschen → Klicken Sie auf „OK“.
4. Suchen Sie nach der Ereignis-ID 4662 mit dem Objekttyp: dnsNode in Ihrem Sicherheitsereignisprotokoll, um die Löschung von DNS-Einträgen zu verfolgen.

Erfahren Sie mehr über Netwrix Auditor for Windows Server

Verfolgen Sie Löschungen von DNS-Einträgen, um Serviceausfälle zu vermeiden

Eine versehentliche oder böswillige Löschung von DNS-Einträgen ist eine wichtige Ursache für die Nichtverfügbarkeit von IT-Diensten. Wenn beispielsweise ein DNS-Eintrag von einem Domain-Controller gelöscht wird, können sich Benutzer möglicherweise nicht anmelden, und das Löschen von SharePoint DNS-Einträgen kann interne Unternehmensressourcen unzugänglich machen. Die kontinuierliche Überwachung von DNS-Eintraglöschungen ermöglicht es IT-Administratoren, solche Vorfälle schnell zu erkennen, damit sie Änderungen, die zu Systemausfallzeiten, Authentifizierungsfehlern und fehlgeschlagenen Zugriffsversuchen führen könnten, beheben können.

Netwrix Auditor for Windows Server liefert wichtige Details über Aktivitäten auf Ihren Windows-Servern, einschließlich der Löschung von DNS-Einträgen. Es stellt detaillierte Informationen über jede Änderung bereit, einschließlich des Zeitpunkts, wer sie vorgenommen hat und was genau geändert wurde. Die Anwendung benachrichtigt auch das IT-Personal, indem sie ihnen E-Mail-Benachrichtigungen über jede Löschung von DNS-Einträgen sendet. Und Sie können Ihre vollständige Audit-Trail sicher im kosteneffektiven zweistufigen (dateibasierten + SQL-Datenbank) AuditArchive für mehr als 10 Jahre speichern.