Active-Directory-Tipp: So prüfen Sie Änderungen an DNS-Berechtigungen
Durch seine zentrale Bedeutung in Netzwerken ist das Domain Name System (DNS) ein beliebtes Angriffsziel für Cyberkriminelle, die versuchen, sich Zugang zu Unternehmensnetzen zu verschaffen. Um die Sicherheit bei der DNS-Namensauflösung zu gewährleisten, sollten Unternehmen – neben weiteren Sicherheitsmaßnahmen – auch Änderungen an den DNS-Einträgen und den DNS-Berechtigungen im Auge behalten.
So kann beispielsweise eine unsachgemäße Konfiguration der DNS-Berechtigungen zu einem Missbrauch der Berechtigungen durch Eindringlinge führen. Daher ist es für IT-Administratoren wichtig, Änderungen an den DNS-Berechtigungen zu überwachen, um – im Falle eines Angriffs – auch die forensische Analyse zu beschleunigen.
In diesem Tipp zeigen wir Ihnen, wie Sie Änderungen an den DNS-Berechtigungen überwachen können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:
• Auditing mit Windows-Bordmitteln
• Auditing mit ADAudit Plus
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Natives Auditing mit Windows-Bordmitteln
Wenn Sie Änderungen an den DNS-Berechtigungen mit den in Windows integrierten Bordmitteln für das Active Directory Auditing überwachen möchten, gehen Sie bitte wie folgt vor:
Hinweis:
Falls Sie bereits das Auditing für Änderungen an DNS-Einträgen aktiviert haben, können Sie direkt zu Schritt 4 auf dieser Seite springen. Falls Sie das Auditing noch nicht aktiviert haben sollten, führen Sie bitte erst die Schritte 1 – 3 wie hier im Tipp „So überwachen Sie Änderungen an DNS-Einträgen“ beschrieben durch (die Einstellungen, die Sie für das Auditing von Änderungen an DNS-Berechtigungen und DNS-Einträgen vornehmen müssen, sind identisch).
Schritt 1: Aktivieren Sie die Richtlinie „Verzeichnisdienstzugriff überwachen“
Wie Sie das Auditing für die Richtlinie „Verzeichnisdienstzugriff überwachen“ im Server-Manager aktivieren, haben wir hier im Tipp „So überwachen Sie Änderungen an DNS-Einträgen“ in Schritt 1 detailliert beschrieben.
Schritt 2: Erlauben Sie das AD-Auditing durch ADSI-Editor
Schritt 3: Aktivieren Sie das Auditing über den DNS Manager
Als nächstes aktivieren Sie bitte das Auditing über den DNS Manager, wie im Tipp „So überwachen Sie Änderungen an DNS-Einträgen“ in Schritt 3 detailliert beschrieben.
Schritt 4: Lassen Sie sich Ereignisse (Events) in der Ereignisanzeige (Event Viewer) anzeigen
- Öffnen Sie die „Ereignisanzeige“ und gehen Sie zu Windows-Protokolle > Sicherheit.
- Klicken Sie im rechten Bereich unter „Aktionen“ auf „Aktuelles Protokoll filtern“.
- Suchen Sie nach der Ereignis-ID 5136, die für Änderungen an DNS-Berechtigungen verwendet wird.
- Mit einem Doppelklick auf ein Ereignis können Sie sich dessen Eigenschaften anzeigen lassen.
- Wiederholen Sie diese Schritte für alle Zonen, um alle Änderungen an den DNS-Berechtigungen zu überprüfen.
Hinweis:
Gerade in großen Unternehmen ist eine manuelle Überprüfung jedes einzelnen Ereignisses für IT-Administratoren aufgrund des hohen Zeitaufwands kaum zu bewältigen. Abhilfe schaffen hier professionelle AD-Auditing- und -Reporting-Lösungen wie ADAudit Plus, die mit wenigen Klicks alle Ereignisse mit der ID 5136 in einem Bericht sammeln und übersichtlich darstellen. Hier können Sie ADAudit Plus 30 Tage lang kostenlos und unverbindlich testen.
Mit ADAudit Plus
ADAudit Plus enthält standardmäßig verschiedene DNS-Berichte, mit denen Sie unter anderem DNS-Berechtigungsänderungen schnell und einfach überwachen können. Sie können die Berichte individuell anpassen und bei Bedarf in verschiedenen Formaten (PDF, XLS, HTML und CSV) exportieren.
Mit ADAudit Plus müssen Sie die für das Active-Directory-Auditing erforderlichen Überwachungsrichtlinien (wie oben beschrieben) übrigens nicht manuell anpassen, sofern Sie sich als Domain-Admin anmelden und die automatische Konfiguration für das AD-Auditing (Einstellung „Audit Policy: Configure“ unter Admin / Domain Settings) aktiviert haben. In diesem Fall konfiguriert ADAudit Plus automatisch die erforderlichen AD-Überwachungsrichtlinien für Sie.
Zusatztipp für mehr Sicherheit: Erstellen Sie einen Service Account für ADAudit Plus
Falls Sie die Anmeldeinformationen des Domain Admins nicht in ADAudit Plus bereitstellen möchten, können Sie einen Service Account erstellen, der lediglich über die Berechtigungen verfügt, die zur automatischen Konfiguration von Überwachungsrichtlinien erforderlich sind (nach dem Least-Privilege-Prinzip). Wie Sie dabei genau vorgehen, finden Sie in dieser englischen Anleitung.
So identifizieren Sie DNS-Einträge, die gelöscht bzw. entfernt wurden:
- Melden Sie sich bei ADAudit Plus an und wählen Sie oben rechts die gewünschte Domäne aus der Dropdown-Liste aus.
- Gehen Sie auf der Registerkarte „Reports“ zu „Permission Changes“.
- Wählen Sie den Bericht „DNS Permission Changes“ aus.
Im Bericht sehen Sie auf einen Blick, wer DNS-Berechtigungen geändert hat, und erhalten detaillierte Informationen zu jeder veränderten DNS-Berechtigung. So können Sie Fehler oder unbefugte Änderungen schnell erkennen und entsprechende Gegenmaßnahmen einleiten.
Über ADAudit Plus
Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.
Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:
- Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
- Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
- Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
- Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
- Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Weitere Active-Directory-Tipps: