Veröffentlicht am von marco

Schrittweise Anleitung zum Überwachen von AD DS-Änderungen unter Windows Server 2008

noteHinweis
Dieses neue Überwachungsfeature gilt auch für Active Directory Lightweight Directory Services (AD LDS). In diesem Dokument wird jedoch nur AD DS behandelt.

Neuigkeiten bei der AD DS-Überwachung

Unter Windows Server 2008 können Sie die AD DS-Überwachung jetzt mit einer neuen Überwachungsunterkategorie einrichten. Darin werden alte und neue Werte protokolliert, wenn Objekte und deren Attribute geändert werden.Unter Microsoft® Windows® 2000 Server und Windows Server 2003 können Active Directory-Überwachungsprotokolle anzeigen, wer Änderungen an welchen Objektattributen vorgenommen hat. Die alten und neuen Werte werden in den Ereignissen jedoch nicht angezeigt. Das Überwachungsprotokoll kann z. B. anzeigen, dass Joe sein Attribut Lieblingsgetränk im Verzeichnis geändert hat, es kann jedoch weder seine früheren Lieblingsgetränke noch das Attribut nach der Änderung anzeigen. Mit dem neuen Überwachungsfeature können Sie Ereignisse protokollieren, die alte und neue Werte anzeigen; Sie können z. B. anzeigen, dass Joes Lieblingsgetränk von Single Latte in Triple-Shot Latte geändert wurde.

Überwachen von Änderungen an Objekten in AD DS

In Windows 2000 Server und Windows Server 2003 gab es die Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen, durch die gesteuert wurde, ob die Überwachung für Verzeichnisdienstereignisse aktiviert oder deaktiviert war. In Windows Server 2008 ist diese Richtlinie in vier Unterkategorien unterteilt:

  • Verzeichnisdienstzugriff
  • Verzeichnisdienständerungen
  • Verzeichnisdienstreplikation
  • Detaillierte Verzeichnisdienstreplikation

Die Funktionalität für die Überwachung von Änderungen an Objekten in AD DS wird durch die neue Überwachungsrichtlinien-Unterkategorie Verzeichnisdienständerungen aktiviert. Diese Anleitung enthält Anweisungen, um diese Überwachungsrichtlinien-Unterkategorie zu implementieren.

Zu den Änderungen, die Sie überwachen können, gehört das Erstellen, Ändern, Verschieben oder Wiederherstellen eines Objekts durch einen Benutzer (oder ein beliebiges Sicherheitsprinzipal). Mit der neuen Überwachungsrichtlinien-Unterkategorie werden der Überwachung in AD DS die folgenden Möglichkeiten hinzugefügt:

  • Wenn ein erfolgreicher Änderungsvorgang für ein Attribut ausgeführt wird, werden die vorherigen und aktuellen Werte des Attributs von AD DS protokolliert. Wenn das Attribut mehrere Werte hat, werden nur die Werte protokolliert, die sich aufgrund des Änderungsvorgangs geändert haben.
  • Wenn ein neues Objekt erstellt wird, werden die Werte der bei der Erstellung aufgefüllten Attribute protokolliert. Wenn der Benutzer während des Erstellungsvorgangs Attribute hinzufügt, werden diese neuen Attributwerte protokolliert. In den meisten Fällen werden den Attributen von AD DS Standardwerte zugewiesen (z. B. samAccountName). Die Werte dieser Systemattribute werden nicht protokolliert.
  • Wenn ein Objekt verschoben wird, werden der vorherige und der neue Speicherort (definierter Name) für Verschiebungen innerhalb der Domäne protokolliert. Wenn ein Objekt in eine andere Domäne verschoben wird, wird auf dem Domänencontroller in der Zieldomäne ein Erstellungsereignis generiert.
  • Wenn ein Objekt wiederhergestellt wird, wird der Speicherort protokolliert, in den das Objekt verschoben wird. Wenn der Benutzer Attribute während eines Wiederherstellungsvorgangs hinzufügt, ändert oder löscht, werden außerdem die Werte dieser Attribute protokolliert.
    noteHinweis
    Wenn Sie ein Objekt wiederherstellen, löschen Sie in einem einzigen LDAP-Änderungsvorgang das Attribut isDeleted, und geben Sie einen neuen Speicherort für das Objekt an, indem Sie das Attribut distinguishedName festlegen. Weitere Informationen finden Sie im Artikel 84001 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=89248, möglicherweise in englischer Sprache).

  • Die von diesen Vorgängen generierten Ereignisse werden im Sicherheitsprotokoll der Ereignisanzeige angezeigt.
noteHinweis
Wenn ein Objekt gelöscht wird, werden keine Änderungsüberwachungsereignisse generiert. Es wird jedoch ein Überwachungsereignis generiert, wenn die Unterkategorie Verzeichnisdienstzugriff aktiviert ist.

Implementieren der AD DS-Änderungsüberwachung

In Windows Server 2008 implementieren Sie das neue Überwachungsfeature mithilfe der folgenden Steuerelemente:

  • Globale Überwachungsrichtlinie
  • Zugriffssteuerungsliste für das System (System Access Control List, SACL)
  • Schema

Globale Überwachungsrichtlinie

Durch Aktivieren der globalen Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen werden alle Richtlinienunterkategorien für den Verzeichnisdienst aktiviert. Sie können diese globale Überwachungsrichtlinie in der Gruppenrichtlinie für Standarddomänencontroller festlegen (unter SicherheitseinstellungenLokale RichtlinienÜberwachungsrichtlinie). In Windows Server 2008 ist diese globale Überwachungsrichtlinie standardmäßig nicht aktiviert. Obwohl die Unterkategorie Verzeichnisdienstzugriff für Erfolgsereignisse standardmäßig aktiviert ist, sind die anderen Unterkategorien standardmäßig nicht aktiviert.

In Windows 2000 Server und Windows Server 2003 war die Richtlinie Verzeichnisdienstzugriff überwachen das einzige verfügbare Überwachungssteuerelement für Active Directory. In den von diesem Steuerelement generierten Ereignissen wurden die alten und neuen Werte für Änderungen nicht angezeigt. Mit dieser Einstellung wurden im Sicherheitsprotokoll Überwachungsereignisse mit der ID 566 generiert. In Windows Server 2008 werden mit der Überwachungsrichtlinien-Unterkategorie Verzeichnisdienstzugriff die gleichen Ereignisse generiert, aber die Ereignis-ID wurde geändert in 4662.

noteHinweis
Die neue Überwachungsrichtlinien-Unterkategorie Verzeichnisdienstzugriff funktioniert ähnlich wie die Richtlinie Verzeichnisdienstzugriff überwachen in Windows 2000 Server und Windows Server 2003, die für Erfolgsereignisse standardmäßig aktiviert war. Standardmäßig sind keine weiteren neuen Überwachungsrichtlinien-Unterkategorien aktiviert, damit Administratoren nicht durch zusätzliche Ereignisse überlastet werden, auf die sie nicht vorbereitet sind.

Mit der neuen Überwachungsrichtlinien-Unterkategorie Verzeichnisdienständerungen werden erfolgreiche Änderungen im Verzeichnis zusammen mit den vorherigen und aktuellen Werten protokolliert. Verzeichnisdienständerungen sind neue Ereignis-ID-Nummern zugeordnet. Die Einstellungen für Verzeichnisdienstzugriff und Verzeichnisdienständerungen werden in der Datenbank der lokalen Sicherheitsautorität (Local Security Authority, LSA) gespeichert. Sie können mithilfe von neuen LSA-APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) abgefragt werden.

Die beiden Überwachungsunterkategorien sind voneinander unabhängig. Sie können Verzeichnisdienstzugriff deaktivieren und dennoch Änderungsereignisse sehen, die generiert werden, wenn die Unterkategorie Verzeichnisdienständerungen aktiviert ist. Ebenso sehen Sie Sicherheitsprotokollereignisse mit der ID 4662, wenn Sie Verzeichnisdienständerungen deaktivieren und Verzeichnisdienstzugriff aktivieren.

Sie können das Befehlszeilentool Auditpol.exe verwenden, um Überwachungsrichtlinien-Unterkategorien anzuzeigen oder festzulegen. In Windows Server 2008 ist kein Windows-Schnittstellentool zum Anzeigen oder Festlegen von Überwachungsrichtlinien-Unterkategorien verfügbar.

SACL

Die SACL für das Objekt bleibt die höchste Autorität, wenn es darum geht, zu bestimmen, ob eine Zugriffsüberprüfung überwacht werden muss. Die SACL ist der Teil der Sicherheitsbeschreibung eines Objekts, in dem angegeben wird, welche Vorgänge für einen Sicherheitsprinzipal überwacht werden sollen.

Der Inhalt der SACL wird durch Sicherheitsadministratoren für das lokale System gesteuert. Sicherheitsadministratoren sind Benutzer, denen das Recht Verwalten von Überwachungs- und Sicherheitsprotokollen (SeSecurityPrivilege) zugewiesen wurde. Dieses Recht ist standardmäßig der integrierten Gruppe Administratoren zugewiesen.

Wenn in der SACL kein Zugriffssteuerungseintrag (Access Control Entry, ACE) vorhanden ist, der die Protokollierung von Attributänderungen erforderlich macht, werden auch dann keine Überwachungsereignisse protokolliert, wenn die Unterkategorie Verzeichnisdienständerungen aktiviert ist. Wenn beispielsweise in einer SACL, die den Zugriff zum Schreiben von Eigenschaften auf das Telefonnummernattribut eines zu überwachenden Benutzerobjekts erforderlich macht, kein Zugriffssteuerungseintrag vorhanden ist, werden bei Änderungen des Telefonnummernattributs keine Überwachungsereignisse generiert. Dies gilt auch, wenn die Unterkategorie Verzeichnisdienständerungen aktiviert ist.

Schema

Das Schema enthält ein zusätzliches Steuerelement, das Sie zum Erstellen von Überwachungsausnahmen verwenden können. Dadurch können Sie vermeiden, dass übermäßig viele Ereignisse generiert werden.

Wenn Sie z. B. sehen möchten, welche Werte sich nach Attributänderungen für ein Benutzerobjekt geändert haben, und einige Attributänderungen ausnehmen möchten, können Sie im Schema für die nicht zu überwachenden Attribute ein Flag festlegen. Durch die searchFlags-Eigenschaft jedes Attributs wird dessen Verhalten definiert, z. B. ob das Attribut indiziert wird oder ob es an den globalen Katalog repliziert wird. Für die Eigenschaft searchFlags sind derzeit sieben Bits definiert.

Wenn Bit 9 (Wert 256) für ein Attribut festgelegt ist, werden bei Änderungen des Attributs keine Änderungsereignisse von AD DS protokolliert. Dies gilt für alle Objekte, in denen das Attribut enthalten ist.

Beispiel eines Änderungsvorgangs und eines Protokolleintrags

In der folgenden Tabelle wird ein Beispiel dafür gezeigt, wie Ereignisse protokolliert werden, wenn ein Benutzer ein Gruppenobjekt durch Hinzufügen von Werten zu zwei Attributen (Beschreibung und Mitglied) ändert und die globale Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen aktiviert ist. In diesem Beispiel wird sowohl Ereignis 4662 als auch Ereignis 5136 angezeigt, da die beiden Unterkategorien Verzeichnisdienstzugriff und Verzeichnisdienständerungen aktiviert sind. Für das Feld Beschreibung wird Ereignis 5136 jedoch nicht angezeigt, da für das Attribut searchFlag der Eigenschaft die Änderungsüberwachung deaktiviert ist.

SACL Benutzeraktion Überwachungsrichtlinien-Einstellungen Protokollierte Überwachungsereignisse
Objekt:CN=GruppeX,

CN=Benutzer, <Definierter Name der Domäne>

ACE in SACL:

{WP; AU}

 Geändertes Objekt:CN=GruppeX,

CN=Benutzer,

<Domäne mit definiertem Namen>

Geändertes Attribut: Mitglied

Vorgang: Hinzufügen

Wert: Benutzer1

Geändertes Attribut:

Beschreibung

Vorgang: Hinzufügen

Wert: Gruppe der Benutzer mit Rolle “X”

 Unterkategorie: Verzeichnisdienstzugriff EINUnterkategorie: Verzeichnisdienständerungen EIN

Beschreibungsattribut im Schema: Bit 8 des Suchflags legt fest, dass Änderungsüberwachung deaktiviert ist

 Ereignis-ID: 4662Objekt: CN=GruppeX, CN=Benutzer, <Domäne mit definiertem Namen>

Berechtigung: Eigenschaft schreiben

Attribute: Mitglied; Beschreibung

Ereignis-ID: 5136

Objekt: CN=Gruppe X, CN=Benutzer, <Domäne mit definiertem Namen>

Vorgang: Hinzufügen

Attribut: Mitglied

Wert: Benutzer1

Zielgruppe dieses neuen Features

Domänenadministratoren, die die erforderlichen Objekte einrichten, die sie überwachen möchten, sollten dieses Feature verwenden. Im Allgemeinen werden Berechtigungen zum Ändern von SACLs und zum Anzeigen des Sicherheitsprotokolls nur Administratoren zugewiesen. Dazu gehören Domänen-Admins, Vordefinierte Administratoren und Organisations-Admins.

Vorteile der Änderungsüberwachung in AD DS

Wenn Sie identifizieren können, wie Objektattribute geändert wurden, sind die Ereignisprotokolle nützlicher als ein Nachverfolgungsmechanismus für Änderungen, die während der Lebensdauer eines Objekts auftreten.

Einrichten der AD DS-Überwachung

In diesem Abschnitt finden Sie schrittweise Verfahren, um die Überwachung von Änderungen an Objekten in AD DS zu aktivieren. Dieser Prozess besteht aus zwei wichtigen Schritten:

  • Aktivieren der globalen Überwachungsrichtlinie in den Gruppenrichtlinien
  • Einrichten der Überwachung in Objekt-SACLs mit dem Snap-In Active Directory-Benutzer und -Computer.

In diesem Abschnitt sind zudem Beispiele für Sicherheitsprotokolleinträge enthalten, die angezeigt werden, wenn Sie ein Benutzerobjekt erstellen, ändern oder verschieben und Verzeichnisdienständerungen aktiviert ist.

Voraussetzungen

  • Benutzer: Zum Ausführen der verschiedenen Verfahren sollten Sie mit der Bearbeitung von Gruppenrichtlinien, der Verwendung des Snap-Ins Active Directory-Benutzer und -Computer, AD DS-Überwachung und Ereignisprotokollen vertraut sein.
  • Computer: Zum Einrichten der Änderungsüberwachung für Objekte in AD DS muss Windows Server 2008 mit der AD DS-Rolle auf dem Computer installiert sein.

Schritte zum Einrichten der Überwachung

In diesem Abschnitt sind Verfahren für alle wichtigen Schritte enthalten, um die Änderungsüberwachung zu aktivieren:

  • Schritt 1: Aktivieren der Überwachungsrichtlinie.
  • Schritt 2: Einrichten der Überwachung in Objekt-SACLs mit dem Snap-In Active Directory-Benutzer und -Computer.

Schritt 1: Aktivieren der Überwachungsrichtlinie.

Dieser Schritt enthält Verfahren zum Aktivieren der Änderungsüberwachung mithilfe der Windows-Benutzeroberfläche oder einer Befehlszeile:

  • Wenn Sie die Gruppenrichtlinienverwaltung verwenden, können Sie die globale Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen aktivieren, die alle Unterkategorien der AD DS-Überwachung aktiviert. Wenn Sie die Gruppenrichtlinienverwaltung installieren müssen, klicken Sie im Server-Manager auf Features hinzufügen. Wählen Sie Gruppenrichtlinienverwaltung aus, und klicken Sie dann auf Installieren.
  • Mithilfe des Befehlszeilentools Auditpol können Sie einzelne Unterkategorien aktivieren.

So aktivieren Sie die globale Überwachungsrichtlinie mithilfe der Windows-Benutzeroberfläche

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung und anschließend auf Gruppenrichtlinienverwaltung.
  2. Doppelklicken Sie in der Konsolenstruktur auf den Namen der Gesamtstruktur, doppelklicken Sie auf Domänen, doppelklicken Sie auf den Namen der Domäne, doppelklicken Sie auf Domänencontroller, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.
  3. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Lokale Richtlinien und auf Überwachungsrichtlinie.
  4. Klicken Sie in Überwachungsrichtlinie mit der rechten Maustaste auf Verzeichnisdienstzugriff überwachen, und klicken Sie dann auf Eigenschaften.
  5. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  6. Aktivieren Sie unter Diese Versuche überwachen das Kontrollkästchen Erfolgreich, und klicken Sie dann auf OK.

So aktivieren Sie die Änderungsüberwachungsrichtlinie mithilfe einer Befehlszeile

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:auditpol /set /subcategory:”directory service changes” /success:enable

Schritt 2: Einrichten der Überwachung in Objekt-SACLs.

Das folgende Verfahren ist nur ein Beispiel der vielen unterschiedlichen Typen von SACLs, die Sie für Vorgänge festlegen können, die Sie überwachen möchten.

So richten Sie die Überwachung in Objekt-SACLs ein

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, für die die Überwachung aktiviert werden soll, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert und anschließend auf die Registerkarte Überwachung.
  4. Klicken Sie auf Hinzufügen, und geben Sie Authentifizierte Benutzer (oder einen anderen Sicherheitsprinzipal) unter Geben Sie die zu verwendenden Objektnamen ein ein. Klicken Sie dann auf OK.
  5. Klicken Sie in Übernehmen für auf Untergeordnete “Benutzer”-Objekte (oder beliebige andere Objekte).
  6. Aktivieren Sie unter Zugriff das Kontrollkästchen Erfolgreich für Alle Eigenschaften schreiben.
  7. Klicken Sie auf OK, bis Sie die Eigenschaftenseite für die Organisationseinheit bzw. ein anderes Objekt geschlossen haben.

Beispiele für Überwachungsereignisse

Dieser Abschnitt enthält Beispiele der neuen Ereignisse, die im Sicherheitsereignisprotokoll angezeigt werden, wenn Sie ein Benutzerobjekt erstellen, ändern oder verschieben und Verzeichnisdienständerungen aktiviert ist.

Erstellen eines Benutzerobjekts

Wenn Sie einen neuen Benutzer erstellen, wird das in der folgenden Abbildung dargestellte Sicherheitsereignis angezeigt.

Ereigniseigenschaften für ein geändertes Benutzerobjekt

Ändern eines Benutzerobjekts

Wenn Sie ein Attribut für ein Benutzerobjekt ändern, wird das in der folgenden Abbildung dargestellte Ereignis angezeigt.

Ereigniseigenschaften für ein neues Benutzerobjekt

Verschieben eines Benutzerobjekts

Wenn Sie ein Benutzerobjekt verschieben, wird das in der folgenden Abbildung dargestellte Ereignis angezeigt.

Ereigniseigenschaften für ein verschobenes Benutzerobjekt

Zusammenfassung der neuen AD DS-Überwachungsereignisse

In der folgenden Tabelle sind die Ereignisse für die einzelnen Vorgänge beschrieben, die überwacht und im Sicherheitsereignisprotokoll angezeigt werden. Die Spalten der Tabelle enthalten die folgenden Informationen:

  • Vorgang: Beschreibt den AD DS-Vorgang, der ein Änderungsüberwachungsereignis erzeugen könnte.
  • Ereignis-ID: Die ID, die die neuen Ereignisse jeweils im Sicherheitsereignisprotokoll aufweisen.
  • Ereignisbeschreibung: Eine kurze Beschreibung der Parameter, die für ein bestimmtes Ereignis protokolliert werden.
  • Zugriffssteuerungseintrag in SACL, der das Ereignis auslöst: Der Typ des ACE-Eintrags, der in der SACL enthalten sein muss, damit ein bestimmtes Ereignis erzeugt wird. In dieser Spalte ist auch beschrieben, welches Objekt den Zugriffssteuerungseintrag enthalten sollte.
Vorgang Ereignis-ID Ereignisbeschreibung Zugriffssteuerungseintrag in SACL, der das Ereignis auslöst
Ändern 5136 <Objekt-DN><Vorgang>: Hinzufügen/Löschen

<Name des Attributs>

<Wert>

Für vorhandene Objekte:

<Objekt-DN> ist der definierte Name des vorhandenen Objekts.

Für neue Objekte:

<Objekt-DN> ist der definierte Name des neuen Objekts.

Für wiederbelebte Objekte:

<Objekt-DN> ist der definierte Zielname des Objekts (nach dem Verschieben des Objekts aus dem Container für gelöschte Objekte zum neuen Speicherort).

 ACE{Eigenschaft schreiben; <Attribut> oder <festgelegte Eigenschaft> oder leer; Vertrauensnehmer}

Für vorhandene Objekte:

ACE sollte in SACL für das Objekt enthalten sein.

Für neue Objekte:

ACE sollte in SACL für das Objekt enthalten sein. Die Sicherheitsbeschreibung (inklusive der SACL) für ein neues Objekt ergibt sich aus explizit zugewiesenen ACEs + vom übergeordneten Objekt geerbten ACEs + Standard-ACEs in der Schemadefinition des Objekts.

Für wiederbelebte Objekte:

ACE sollte in SACL für das wiederbelebte Objekt enthalten sein. Die Sicherheitsbeschreibung (inklusive der SACL) für ein wiederbelebtes Objekt ergibt sich aus der Sicherheitsbeschreibung, die beim Löschen des Objekts galt + vom neuen übergeordneten Objekt geerbten ACEs.
Erstellen 5137 <Neuer Objekt-DN> {Untergeordnetes Objekt erstellen; <Objekttyp> oder leer; Vertrauensnehmer}ACE sollte für übergeordnetes Objekt sein
Wiederherstellen 5138 <Alter Objekt-DN><Neuer Objekt-DN> {Untergeordnetes Objekt erstellen; <Objekttyp> oder leer; Vertrauensnehmer}ACE sollte für übergeordnetes Zielobjekt sein (nicht Quellobjekt)
Verschieben 5139 <Alter Objekt-DN><Neuer Objekt-DN> {Untergeordnetes Objekt erstellen; <Objekttyp> oder leer; Vertrauensnehmer}ACE sollte für übergeordnetes Zielobjekt sein (nicht Quellobjekt)