Änderungen im AD protokollieren

Angreifern auf der Spur

von Mark Heitbrink

Angriffe auf die Unternehmens-IT sind an der Tagesordnung. Im schlimmsten Fall lässt sich die Attacke erst am Ende nachvollziehen. Mit einem geeigneten Monitoring haben Sie zumindest die Chance, frühzeitig einzugreifen und Schlimmeres zu verhindern. Dazu gehört das Überwachen von Änderungen im Active Directory. Wir zeigen, wie dies mit den Windows-Bordmitteln möglich ist.

Aus IT-Administrator 11/2022

Flexibilität ist gefragt, auch im Unternehmensnetzwerk. Im November werfen wir einen Blick auf das Schwerpunktthema "Software-definierte Infrastrukturen". So ... (mehr)

Ein SIEM (Security Information/Incident and Event Management) ist oft der Wunsch des Administrators und im Hinblick auf die Ressourcen, die dafür eingesetzt werden können, nahezu unerschöpflich. Für die ersten wichtigen Erkenntnisse reicht aber auch das bereits vorhandene Event Logging der Ereignisanzeige aus. Mit der Einführung von Windows Server 2008 und Vista hat Microsoft eine wesentlich granularere Technik etabliert. Die Ereignisse sind in Kategorien samt Unterkategorien sortiert, um sie besser überwachen und aufzeichnen zu können. Ein »auditpol /list /subcategory:*« in der Kommandozeile verschafft Ihnen eine schnelle Übersicht über die Möglichkeiten. Der Befehl »auditpol /get /category:*« zeigt die aktuelle Konfiguration.

Die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.