Active-Directory-Tipp: So aktivieren Sie das Auditing für die Prozessnachverfolgung (Audit Process Tracking)
Erstellung oder Beendigung von Prozessen, Handle-Duplizierung oder indirekter Objektzugriff: Diese Windows-Ereignisse können Hinweise auf böswillige Akteure geben, die versuchen, das Unternehmensnetzwerk unter ihre Kontrolle zu bringen. Da ein Auditing dieser prozessbezogenen Ereignisse allerdings auch zu einer großen Anzahl an Datensätzen führen kann, ist die Überwachungsrichtlinie „Audit Process Tracking“ (deutsch: „Prozessnachverfolgung überwachen“) in Windows standardmäßig deaktiviert.
Um potentiell schädliche Aktivitäten im Firmennetzwerk frühzeitig erkennen zu können, sollten Ereignisse im Zusammenhang mit Prozessen Bestandteil Ihrer Monitoring-Aktivitäten sein.
Dazu müssen Sie zunächst die Audit-Richtlinie „Audit Process Tracking“ aktivieren, damit prozessbezogene Ereignisse protokolliert werden, sobald eine bestimmte Aktivität auftritt. Dies hilft Ihnen dabei, jedes Programm zu verfolgen, das entweder vom System oder von Endanwendern ausgeführt wird. Auf diese Weise können Sie bösartige Anwender und die Programme, die sie nutzen, besser aufspüren und frühzeitig eingreifen. Auch für die Incident Response liefern Ihnen z. B. die detaillierten Log-Einträge zu gestarteten Prozessen inklusive Startzeitpunkt wertvolle Informationen.
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Idealerweise kombinieren Sie diese Überwachungsrichtlinie mit weiteren (z. B. „Audit Logon“ und „Audit Object Access“), um ein detailliertes Bild der Benutzeraktivitäten in Ihrer Domäne zu erhalten.
In diesem Tipp zeigen wir Ihnen, wie Sie die Überwachungsrichtlinie „Audit Process Tracking“ bzw. „Prozessnachverfolgung überwachen“ aktivieren und wie Sie wichtige Ereignisse im Zusammenhang mit Prozessen finden und auswerten können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:
Natives Auditing mit Windows-Bordmitteln
Sie können prozessbezogene Ereignisse mit dem in Windows integrierten nativen Auditing folgendermaßen überwachen:
Schritt 1: Aktivieren Sie die Richtlinie „Prozessnachverfolgung aktivieren“
- Melden Sie sich mit administrativen Rechten an Ihrem Domänen-Controller an und starten Sie die Gruppenrichtlinienverwaltungs-Konsole (Group Policy Management Console (GPMC)).
- Klicken Sie auf das entsprechende Gruppenrichtlinienobjekt, das mit dem Container des Domänen-Controllers verknüpft ist, und wählen Sie „Bearbeiten“ aus.
- Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
- Wählen Sie „Prozessnachverfolgung überwachen“ aus und aktivieren Sie anschließend die Überwachung für „Erfolgreich“ und „Fehler“.
- Beenden Sie den Editor für die Gruppenrichtlinienverwaltung.
Hinweis:
Microsoft empfiehlt, diese Audit-Richtlinie nicht auf Common-Gateway-Interface(CGI)-Webservern, Testsystemen, Servern, auf denen Batch-Prozesse ausgeführt werden, oder Workstations von Entwicklern zu aktivieren, da hier beim Auditing große Mengen an Ereignisprotokollen entstehen.
Schritt 2: Lassen Sie sich Ereignisse (Events) in der Ereignisanzeige (Event Viewer) anzeigen
- Öffnen Sie die „Ereignisanzeige“ und wählen Sie unter „Windows-Protokolle“ den Eintrag „Sicherheit“.
- Um die Ereignisprotokolle (Event Logs) nach einer der folgenden Ereignis-IDs zu durchsuchen, wählen Sie „Aktuelle Protokoll filtern…“ im rechten Bereich aus und geben die gewünschte ID-Nummer ein:
- Event-ID 4688 (bzw. ID 592 auf älteren Windows-Systemen): Ein neuer Prozess wurde erstellt.
Dieses Ereignis wird erzeugt, wenn ein neuer Prozess gestartet wird. Es wird auf Domänen-Controllern, Member-Servern und Workstations protokolliert. - Event-ID 4689 (bzw. ID 593 auf älteren Windows-Systemen): Ein Prozess wurde beendet.
Dieses Ereignis wird bei der Beendigung eines Prozesses generiert und wird ebenfalls auf Domänen-Controllern, Member-Servern und Workstations protokolliert.
- Event-ID 4688 (bzw. ID 592 auf älteren Windows-Systemen): Ein neuer Prozess wurde erstellt.
- Mit einem Doppelklick auf ein Ereignis können Sie sich dessen Eigenschaften anzeigen lassen.
Warum sollten Sie Ereignisse mit der ID 4688 bzw. ID 4689 überwachen?
Neben der Einhaltung von Compliance- oder betrieblichen Vorgaben gibt es weitere Gründe, warum Sie diese Ereignisse protokollieren sollten: Beide Ereignisse können Hinweise auf potentiell bösartige Aktivitäten oder den Missbrauch von Privilegien geben.
Mit ADAudit Plus
Mit der AD-Auditing und -Reporting-Lösung ADAudit Plus können Sie prozessbezogene Ereignisse deutlich einfacher und komfortabler überwachen. ADAudit Plus enthält mehrere vorkonfigurierte Berichte, die die Prozessüberwachung deutlich erleichtern. Diese Reports lassen sich bei Bedarf individuell anpassen und können als PDF-, XLS-, HTML- oder CSV-Datei exportiert werden.
Voraussetzung für das Auditing ist allerdings auch hier, dass zunächst die erforderlichen Audit-Richtlinien für die Überwachung des Active Directory konfiguriert werden.
Falls gewünscht, unterstützt Sie ADAudit Plus bei dieser Aufgabe: Sofern Sie die automatische Konfiguration aktiviert haben, konfiguriert die Lösung nach der Installation automatisch die für das Active-Directory-Auditing erforderlichen Überwachungsrichtlinien.
Hinweis:
Die automatische Konfiguration der Audit-Richtlinien erfolgt nicht ohne die Zustimmung des Benutzers.
So aktivieren Sie die automatische Konfiguration für das AD-Auditing:
Melden Sie sich bei ADAudit Plus an, gehen Sie zu Admin / Domain Settings / Audit Policy: Configure.
So überwachen Sie neu erstellte oder beendete Prozesse mit ADAudit Plus:
- Melden Sie sich bei ADAudit Plus an und gehen Sie auf den Reiter „Server Audits“.
- Im linken Navigationsmenü finden Sie unter „Process Tracking“ mehrere vorkonfigurierte Berichte zur Prozessaktivität im Active Directory:
- Der Bericht „New Process Created“ zeigt Ihnen alle neu erstellten Prozesse mit detaillierten Angaben zum Prozessnamen, zum Zeitpunkt der Erstellung, zum Computer, auf dem der Prozess erstellt wurde, etc.
- Der Bericht „New Process Exited“ listet alle Prozesse auf, die abgebrochen wurden. So wissen Sie genau, wann ein Prozess beendet wurde, und wie lange ein Programm lief.
- Der Bericht „Who startet a process“ gibt Auskunft über Programme, die von Benutzern auf ihren Computern ausgeführt werden, und hilft, bösartigen Aktivitäten in Ihrem Netzwerk auf die Spur zu kommen.
Über ADAudit Plus
Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.
Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:
- Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
- Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
- Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
- Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
- Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Weitere Active-Directory-Tipps: