• Computerkonfiguration (Computer Configuration)
  • Active Directory-Benutzer und Computer
  • Überwachungsrichtlinie (Audit Policy)
  • Effektive Einstellung (Effective Setting)
  • Anmeldeereignisse überwachen
  • Abbildung 3: Ermitteln der aktuellen Überwachungsrichtlinie eines Systems
  • Neue Überwachungskategorien
  • Active Directory-Zugriff überwachen und Anmeldeversuche überwachen
  • Anmeldeversuche überwachen
  • Aktivieren der Überwachungsrichtlinie




    Download 195.5 Kb.
    bet3/4
    Sana30.09.2020
    Hajmi195.5 Kb.
    #11818
    1   2   3   4

    Aktivieren der Überwachungsrichtlinie


    Sie können die Ereignisse des Sicherheitsprotokolls erst dann anzeigen, wenn Sie die Überwachungsrichtlinie des betreffenden Systems aktiviert haben. Auch diese Richtlinie wird in Windows 2000 von der Gruppenrichtlinie gesteuert. Um eine Standardüberwachungsrichtlinie für die einzelnen Systeme einer Domäne anzugeben, können Sie wiederum das Gruppenrichtlinienobjekt der Standarddomänenrichtlinie bearbeiten. Öffnen Sie das Bearbeitungsfenster des Gruppenrichtlinienobjekts der Standarddomänenrichtlinie, klicken Sie aber nun auf Computerkonfiguration (Computer Configuration), danach auf Windows-Einstellungen (Windows Settings), Sicherheitseinstellungen (Security Settings) und Lokale Richtlinien (Local Policies) und schließlich auf Überwachungsrichtlinie (Audit Policy). Klicken Sie mit der rechten Maustaste auf eine Überwachungskategorie und dann auf Sicherheit. Definieren Sie danach die zu überwachenden Richtlinieneinstellungen für Erfolg bzw. Fehlschlag des Ereignisses dieser Kategorie.

    Sobald Windows 2000 die Gruppenrichtlinie übernimmt, werden sämtliche Gruppenrichtlinienobjekte, die auf den Standort, die Domäne und die Organisationseinheit eines bestimmten Computers verweisen, zusammengestellt. Wenn Sie die Gruppenrichtlinienobjekte mithilfe des Snap-Ins Active Directory-Benutzer und Computer durchsuchen, können Sie leicht Einstellungen übersehen. Um die aktuelle Überwachungsrichtlinie eines Systems exakt zu ermitteln, öffnen Sie das MMC-Snap-In Lokale Sicherheitsrichtlinie, und klicken Sie auf Sicherheitseinstellungen (Security Settings), dann auf Lokale Richtlinien (Local Policies) und danach auf Überwachungsrichtlinie (Audit Policy), wie in Abbildung 3 dargestellt. In der Spalte Lokale Einstellung (Local Setting) werden die aktuellen Einstellungen des lokalen Gruppenrichtlinienobjekts angezeigt. Diese Objekte haben den geringsten Einfluss. Viel wichtiger ist aber, dass in der Spalte Effektive Einstellung (Effective Setting) die aktuellen Einstellungen des betreffenden Systems angezeigt werden, nachdem Windows 2000 alle relevanten Gruppenrichtlinienobjekte übernommen hat. Windows 2000 enthält jetzt drei neue Kategorien: Anmeldeereignisse überwachen, Anmeldeversuche überwachen und Active Directory-Zugriff überwachen. (Informationen zu diesen neuen Kategorien finden Sie in der Randleiste "Neue Überwachungskategorien") Mithilfe der Kategorie Anmeldeereignisse überwachen können Sie lokale Anmeldeereignisse genauso überwachen wie zuvor mit der NT-Kategorie An- und Abmelden. Die beiden anderen neuen Kategorien beziehen sich auf die Domänencontroller (DCs).





    Abbildung 3: Ermitteln der aktuellen Überwachungsrichtlinie eines Systems



    Neue Überwachungskategorien

    Wenn Sie mithilfe des MMC-Snap-Ins (Microsoft Management Console) Lokale Sicherheitsrichtlinie die Überwachungsrichtlinie eines Systems anzeigen, werden Ihnen unter Umständen die folgenden beiden neuen Überwachungskategorien auffallen, die sich auf die Domänencontroller (DCs) beziehen: Active Directory-Zugriff überwachen und Anmeldeversuche überwachen. Die Kategorie Active Directory-Zugriff überwachen gestattet das Nachverfolgen von Änderungen bis zur Eigenschaftenebene, die an Active Directory-Objekten (wie z. B. Benutzern) vorgenommen werden. So können Sie z. B. mithilfe dieser Kategorie das Zurücksetzen des Kennwortes vom Ändern einer Telefonnummer unterscheiden.



    Der Name der Kategorie Anmeldeversuche überwachen ist dem Kategorienamen Anmeldeereignisse überwachen zum Verwechseln ähnlich. Dabei entspricht die Windows 2000-Kategorie Anmeldeereignisse überwachen der bekannten Windows NT-Überwachungskategorie An- und Abmelden. Nun besteht aber das Problem bei Anmeldeereignisse überwachen und An- und Abmelden darin, dass Windows 2000 bzw. Windows NT diese Ereignisse auf dem System aufzeichnen, auf dem diese auftreten. Wenn sich also ein Benutzer interaktiv an einer Arbeitsstation anmeldet, zeichnen Windows 2000 und NT das Anmeldeereignis im lokalen Sicherheitsprotokoll der Arbeitsstation auf - sofern Sie die Überwachungsrichtlinie auf dieser Arbeitsstation aktiviert haben. Stellt ein Benutzer dagegen eine Netzwerkverbindung mit einem Server her (z. B. durch das Zugreifen auf ein freigegebenes Laufwerk), zeichnen Windows 2000 und Windows NT die Netzwerkanmeldung im Sicherheitsprotokoll des Servers auf. Dies bedeutet, dass die mit den An- und Abmeldeaktivitäten in Zusammenhang stehenden Ereignisse über das gesamte Netzwerk verteilt sind. Microsoft hat auf die dahingehenden Beschwerden reagiert und die Kategorie Anmeldeversuche überwachen hinzugefügt, mit der die Authentifizierung der Benutzer zentral überwacht werden kann, und zwar auf den Domänencontrollern einer Domäne.




    Download 195.5 Kb.
    1   2   3   4




    Download 195.5 Kb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Aktivieren der Überwachungsrichtlinie

    Download 195.5 Kb.