So ermitteln Sie, wer ein Gruppenrichtlinienobjekt gelöscht hat - Wie Man

So ermitteln Sie, wer ein Gruppenrichtlinienobjekt gelöscht hat

Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) können Konfigurationen für den Zugriff auf gemeinsam genutzte Ressourcen und Geräte bereitstellen, kritische Funktionen ermöglichen oder sichere Umgebungen einrichten. Wenn einige der GPOs gelöscht werden, können Benutzer möglicherweise nicht auf das Internet zugreifen, ihre Daten ändern, Peripheriegeräte verwenden oder sich sogar bei ihren Systemen anmelden. Das Löschen von Gruppenrichtlinienobjekten, die Zugriffskontrolle, Authentifizierung und andere Sicherheitsrichtlinien betreffen, kann die Sicherheitsanfälligkeit des Systems erhöhen und nicht autorisierten Zugriff zulassen.
https://www.netwrix.com/how_to_detect_who_deleted_group_policy_object.html

5 Schritte insgesamt

Schritt 1: Konfigurieren Sie die Einstellungen für die Gruppenrichtlinienüberwachung

Führen Sie GPMC.msc aus → öffnen Sie „Standarddomänenrichtlinie“ → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen:

Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Objektzugriff → Prüfdateisystem> Definieren → Erfolg und Fehler

Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Objektzugriff → Manipulation von Prüfabläufen → Definieren → Erfolg und Fehler

Lokale Richtlinien → Überwachungsrichtlinien → Zugriff auf den Verzeichnisdienst prüfen → Definieren → Erfolg und Fehler

Ereignisprotokoll → Definieren → Maximale Sicherheitsprotokollgröße auf 1 GB und Aufbewahrungsmethode für Sicherheitsprotokoll, um Ereignisse nach Bedarf zu überschreiben.

Schritt 2: Konfigurieren Sie die ADSI-Bearbeitung

Öffnen Sie ADSI-Bearbeitung → Verbinden mit Standard-Namenskontext → DC = Domänenname → CN = System → Klicken Sie mit der rechten Maustaste auf CN = Richtlinien. → Eigenschaften → Sicherheit (Registerkarte) → Erweitert → Überwachung (Registerkarte) → Klicken Sie auf „Hinzufügen“ → Wählen Sie die folgenden Einstellungen :

Prinzipal: Jeder; Typ: Erfolg; Betrifft: Dieses Objekt und alle untergeordneten Objekte; Berechtigungen: Löschen Sie groupPolicyContainer-Objekte → Klicken Sie auf „OK“.

Schritt 3: Konfigurieren Sie die SYSVOL-Überwachung

Navigieren Sie zu Domänenname sysvol domainfqdn → klicken Sie mit der rechten Maustaste auf den Ordner "Policies" und wählen Sie "Properties".

Wählen Sie die Registerkarte "Sicherheit" → Schaltfläche "Erweitert" → Registerkarte "Überwachung" → Klicken Sie auf "Hinzufügen".

Wählen Sie Principal: "Everyone"; Wählen Sie "Typ: Alle"; Wählen Sie "Bezieht sich auf: Diesen Ordner, Unterordner und Dateien";

Wählen Sie die folgenden "Erweiterte Berechtigungen" aus: Schreiben Sie Attribute; Schreiben Sie erweiterte Attribute. Löschen; Unterordner und Dateien löschen; Klicken Sie dreimal auf "OK".

Schritt 4: Ereignisprotokoll filtern

Um zu definieren, welche Gruppenrichtlinie gelöscht wurde, filtern Sie das Sicherheitsereignisprotokoll für Ereignis-ID 4663 (Taskkategorie - "Dateisystem" oder "Wechselmedien") und suchen Sie nach der Zeichenfolge "Object Name:", in der Sie den Pfad und die GUID der gelöschten Richtlinie finden Das Feld "Kontoname" enthält Informationen darüber, wer es gelöscht hat.

Schritt 5: Real Life Use Case

http://www.youtube.com/watch?v=yq4OyyVeZpg

GPO-Löschungen werden erst nach der Konfiguration der oben genannten Überwachungseinstellungen protokolliert.