Überwachung von AD-Änderungen per Monitoring

Ereignisanzeigen von Servern auslesen lassen

Admin-Tipps | Posted by SYMPLASSON | 23 März 2017
Überwachung von AD-Änderungen per Monitoring

Im Advanced Hostmonitor (oder einem anderen Monitoring-Tool, welches Ereignisanzeigen von Servern auslesen kann) sollen Änderungen am Active Directory überwacht werden, z. B. Erstellung von Benutzern, Ändern von Gruppenzugehörigkeiten etc., und es soll eine aussagekräftige Mail an die Admins geschickt werden.

1. Aktivierung der Überwachung auf den Domänencontrollern

Dafür wird über den Gruppenrichtlinieneditor die "Default Domain Controllers Policy" angepasst

  • Computer Configuration --> Policies --> Windows Settings --> Security Settings --> Advanced Audit Configuration --> Account Management.

Dort aktivieren Sie die Einstellungen für

  • "Audit Computer Account Management",
  • "Audit Distribution Group Management",
  • "Audit Other Account Management Events",
  • "Audit Security Group Management" und
  • "Audit User Account Management"


2. Erstellung von Tests im Hostmonitor

Für jede Event ID ist ein eigener Test zu erstellen:

  • Test-Methode: "NT Event Log"
  • Log-Source: jeweils alle einzelnen Domänencontroller
  • Log-Channel: Security
  • Alert Condition --> Event ID: "Any from the following" -->XXX  (XXX siehe 3.)


Eine Textdatei mit allen Test, die im Hostmonitor importiert werden kann, können Sie von unserer Technik gern erhalten. Darin müssen Sie nur noch jeweils den Platzhalter "Server" durch den Namen Ihres Domänen-Controllers ersetzen!

Rufen Sie uns einfach an!

 
3.XXX  --> Event ID Übersicht

4726 --> User deleted
4724 --> Password changed
4720 --> user created
4738 --> User account changed
4722 --> User account enabled
4725 --> A user account was disabled.
4728 --> A member was added to a security-enabled global group
4729 --> A member was removed from a security-enabled global group.
4730 --> A security-enabled global group was deleted.
4727 --> A security-enabled global group was created.
4731 --> A security-enabled local group was created.
4732 --> A member was added to a security-enabled local group
4734 --> A security-enabled local group was deleted.
4754 --> A security-enabled universal group was created.
4756 --> A member was added to a security-enabled universal group
4761 --> A member was added to a security-disabled universal group
4764 --> A group’s type was changed
4781 --> The name of an account was changed​


Das Ergebnis

Der Administrator bekommt entsprechende Mails, zum Beispiel bei Aktivierung eines Benutzer Accounts:

 

Test.................: NTLog \\<SERVER>:Security --> User account enabled
Status...............: Bad
Reply................: A user account was enabled.
 
Subject:
Security ID: S-1-5-21-4176011984-306753828-2325818716-4253
Account Name: <ACCOUNT>  (--> Wer hat geändert)
Account Domain: <DOMAIN>
Logon ID: 0x601ed31

Target Account:
Security ID: S-1-5-21-4176011984-306753828-2325818716-3951
Account Name: <ACCOUNT> (--> welcher Account ist betroffen)
Account Domain: <DOMAIN>

 
Oder auch bei Aufnahme eine Users in die Domain-Admin-Gruppe:

Test..................: NTLog \\<SERVER>:Security --> A member was added to a security-enabled global group
Status................: Bad
Reply.................:A member was added to a security-enabled global group.

Subject:
Security ID: S-1-5-21-4176011984-306753828-2325818716-4253
Account Name: <ACCOUNT>
Account Domain: <DOMAIN>
Logon ID: 0x601ed31

Member:
Security ID: S-1-5-21-4176011984-306753828-2325818716-3951
Account Name: CN=...,OU=...,OU=...,OU=...,OU=...DC=... DC=de

Group:
Security ID: S-1-5-21-4176011984-306753828-2325818716-512
Group Name: Domain Admins
Group Domain: <DOMAIN>