Kontenverwaltung überwachen

Es ist immer ratsam zu überwachen, ob Nutzerkonten bearbeitet werden. So können Sie schnell auf unerwünschte Änderungen, welche unter anderem ein Sicherheitsrisiko darstellen können, reagieren. In diesem Blogeintrag werden wir uns anschauen, wie man die Überwachung der Kontenverwaltung aktiviert und wie man sie nutzt.

Um die Nutzerkonten eines Active Directory zu überwachen, muss zunächst die Option Kontenverwaltung überwachen in den Gruppenrichtlinien unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie aktiviert werden.

Diese Funktion ist jedoch inkompatibel mit der Erweiterten Überwachungskonfiguration (zu finden unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration).
Wenn Sie die Erweiterte Überwachungskonfiguration aktiviert haben, müssen Sie diese zunächst deaktivieren. Dies können Sie wie folgt erreichen:

1. Setzen Sie alle Unterkategorien der erweiterten Überwachungsrichtlinien auf nicht konfiguriert festlegen.

2. Löschen Sie alle Audit.csv-Dateien aus dem Ordner %SYSVOL% auf dem Domänencontroller.

Anschließend können Sie die Funktion Kontenverwaltung überwachen aktivieren:

1. Hierzu öffnen Sie den Gruppenrichtlinieneditor auf dem Domänen Controller und erstellen eine neue Gruppenrichtlinie.

2. Bearbeiten Sie diese Gruppenrichtlinie und navigieren Sie zu Computer Konfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinien.

3. Aktivieren Sie hier die Option Kontenverwaltung überwachen.

Nun können Sie zwischen Fehler und/oder Erfolg wählen. Bitte verwenden Sie die untere Tabelle, um herauszufinden, welche Aktionen beim Aktivieren der jeweiligen Option überwacht werden.

Ereignisliste (Sortiert nach EventID):

Event ID, Ereignis, Beschreibung

• 4720, Erfolg, Ein Benutzerkonto wurde erstellt

• 4722, Erfolg, Ein Benutzerkonto wurde aktiviert

• 4723, Erfolg oder Fehler, Es wurde versucht, das Kennwort eines Kontos zu ändern

• 4724, Erfolg oder Fehler, Es wurde versucht, das Kennwort eines Kontos zurückzusetzen

• 4725, Erfolg, Ein Benutzerkonto wurde deaktiviert

• 4726, Erfolg, Ein Benutzerkonto wurde gelöscht

• 4738, Erfolg, Ein Benutzerkonto wurde geändert

• 4740, Erfolg, Ein Benutzerkonto wurde gesperrt

• 4765, Erfolg, Ein sid-Protokoll wurde einem Konto hinzugefügt

• 4766, Fehler, Das Hinzufügen eines SID-Verlaufs zu einem Konto ist fehlgeschlagen

• 4767, Erfolg, Ein Benutzerkonto wurde gesperrt

• 4780, Erfolg, Die ACL wurde für Konten eingerichtet, die Mitglieder von Administratoren Gruppen sind

• 4781, Erfolg, Der Name eines Kontos wurde geändert

• 4794, Erfolg oder Fehler, Es wurde versucht, das Administratorkennwort für den Verzeichnisdienst Wiederherstellungsmodus einzurichten

• 4798, Erfolg, Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgelistet

• 5376, Erfolg, Anmeldeinformationen der Anmeldeinformationsverwaltung wurden gesichert

• 5377, Erfolg, Anmeldeinformationen der Anmeldeinformationsverwaltung wurden von einer Sicherung wiederhergestellt

Sofern Ereignisse ausgelöst werden, können Sie diese in der Ereignisanzeige unter Windows-Protokolle > Sicherheit einsehen.

Jedoch bietet das Überwachen der Kontenverwaltung weitaus mehr als nur das Anzeigen der oben aufgelisteten Ereignisse. Um genauere Informationen eines Ereignisses einzusehen, genügt ein Doppelklick auf ein Solches. Hier finden Sie unter anderem den Nutzer, welcher die Aktion ausgeführt hat. Und ob diese fehlgeschlagen ist oder erfolgreich war.

So können Sie – sofern Sie LDAP (Lightweight Directory Access Protocol) nach Best Practice nutzen; siehe unten – herausfinden, ob ein Konto mittels LDAP oder über ADUC (Active Directory Users and Computers) erstellt wurde.

Unter Best Practice nutzt LDAP ein, eigens für ihn erstelltes, Nutzerkonto. Dadurch kann aus dem Ereignis entnommen werden, ob ein Nutzer mittels LDAP oder durch einen Administrator erstellt wurde.