Ermitteln, wer einen Benutzer zur Gruppe der Domänen-Admins hinzugefügt hat - Wie Man

Ermitteln, wer einen Benutzer zur Gruppe der Domänen-Admins hinzugefügt hat

Ein zur Gruppe Domänen-Admins hinzugefügter Benutzer erhält vollständige Kontrolle über Active Directory und erhält Zugriff auf IT-Systeme, die die Windows-Authentifizierung verwenden, z. B. System Center Control Manager, SQL Server, SharePoint. Daher kann ein Benutzer, der ohne gültigen Grund zur Gruppe der Domänen-Admins hinzugefügt wird, Active Directory-Ausfallzeiten verursachen, indem er Organisationseinheiten löscht, einen Domänencontroller herunterfährt und durch Erstellen von Backdoor-Konten zu einer Hauptursache für eine Sicherheitsverletzung wird.
https://www.netwrix.com/how_to_detect_membership_changes_in_domain_admins_group.html

6 Schritte insgesamt

Schritt 1: Konfigurieren Sie die Einstellungen für die Gruppenrichtlinienüberwachung

Konfigurieren Sie die Überwachungsrichtlinieneinstellungen durch Ausführen von GPMC.msc → Bearbeiten der „Standarddomänenrichtlinie“ → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinien → Prüfkontenverwaltung → Definieren → Erfolg.

Schritt 2: Konfigurieren Sie ADSI

Konfigurieren Sie die Active Directory-Überwachungseinstellungen auf Objektebene, indem Sie ADSI-Bearbeitung öffnen → Verbindung mit "Standardbenennungskontext" herstellen → Klicken Sie auf "OK" → Klicken Sie mit der rechten Maustaste auf DomainDNS-Objekt mit dem Namen Ihrer Domäne → Eigenschaften → Sicherheit (Registerkarte) → Erweitert (Schaltfläche) → Überwachung (Registerkarte) → Prinzip hinzufügen „Jeder“ → Typ „Erfolg“ → Gilt für „Dieses Objekt und Nachkommenobjekte“ → Berechtigungen: → Aktivieren Sie alle Kontrollkästchen außer den folgenden: „Vollzugriff“, „Inhalt auflisten“, „Alles lesen Eigenschaften “,„ Berechtigungen lesen “→ Klicken Sie auf„ OK “.

Schritt 3: Konfigurieren Sie die Ereignisprotokolleinstellungen

Erhöhen Sie die Kapazität des Sicherheitsereignisprotokolls durch Ausführen von GPMC.msc → Bearbeiten der Standarddomänenrichtlinie → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Ereignisprotokoll → Definieren:
Maximale Sicherheitsprotokollgröße bis 1 GB
b.Retention-Methode für das Sicherheitsprotokoll, um "Ereignisse nach Bedarf zu überschreiben".

Schritt 4: Führen Sie den Befehl "gpupdate / force" aus.

Schritt 5: Sicherheitsprotokoll filtern

Führen Sie eventvwr.msc aus und filtern Sie das Sicherheitsprotokoll für die Ereignis-ID 4728, um festzustellen, wann Benutzer zu sicherheitsaktivierten globalen Gruppen hinzugefügt werden. In unserem Fall lautet der Gruppenname "Domain Admins".

Schritt 6: Real-Use-Anwendungsvideo

http://www.youtube.com/watch?v=LTwkYhBU7lY