Active-Directory-Tipp: So überwachen Sie geplante Aufgaben im Windows Task Scheduler
Der Windows Task Scheduler ist ein beliebter Einstiegspunkt für Angreifer. Die Hacker legen dabei in der Regel eigene geplante Aufgaben („Scheduled Tasks“) an, um ihre Berechtigungen innerhalb eines kompromittierten Netzwerks mithilfe bösartiger Skripte zu erweitern – und sich so dauerhaft einzunisten.
Selbst die von Microsoft in der Betriebssystem-Version Windows 10 eingeführte Sandbox (eine Funktion, mit der nicht vertrauenswürdige Anwendungen in einer von der Hauptinstallation unabhängigen Umgebung ausgeführt werden können) konnte dieses Problem nicht vollständig lösen und den Windows Task Scheduler zuverlässig vor Angreifern absichern.
Vor diesem Hintergrund sollte das Monitoring des Windows Task Schedulers unbedingt Teil Ihres Sicherheitsplans sein, um verdächtige Aufgaben frühzeitig zu erkennen. In diesem Tipp zeigen wir Ihnen, wie Sie das Auditing für den Windows Task Scheduler aktivieren und wie Sie verdächtige Aufgaben auf einem Windows-Server aufspüren können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Natives Auditing mit Windows-Bordmitteln
Um verdächtige Aufgaben im Windows Task Scheduler mit den in Windows integrierten Bordmitteln für das Active Directory Auditing zu überwachen, gehen Sie bitte wie folgt vor:
Schritt 1: Aktivieren Sie das Auditing in der Gruppenrichtlinien-Verwaltungskonsole
- Melden Sie sich an Ihrem Domänen-Controller mit administrativen Rechten an und starten Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das mit dem Container des Domänen-Controller verknüpft ist, und wählen Sie „Bearbeiten“.
- Wechseln Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien.
- Unter „Überwachungsrichtlinien“ finden Sie spezifische Einstellungen zum Objektzugriff. Hier wählen Sie „Andere Objektzugriffsereignisse überwachen“ und konfigurieren „Erfolg und Fehler“ bei den Überwachungsereignissen.
- Beenden Sie den Editor für die Gruppenrichtlinien-Verwaltung.
- Wählen Sie in der Gruppenrichtlinien-Verwaltungskonsole das geänderte Gruppenrichtlinienobjekt (Group Policy Object, GPO) aus, und klicken Sie im Abschnitt „Sicherheit“ auf der rechten Seite auf „Hinzufügen“. Geben Sie „Jeder“ in das Textfeld ein und klicken Sie auf „Namen überprüfen“, um den Wert zu übernehmen. Verlassen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Hinweis:
Um diese Änderungen sofort in der gesamten Domäne durchzusetzen, führen Sie folgenden Befehl über die Windows-Eingabeaufforderung aus: gpupdate/force
Schritt 2: Erlauben Sie AD Auditing durch ADSI Edit
- Gehen Sie in Ihrem Server Manager zu „Tools“ und wählen Sie „ADSI Edit“.
- Klicken Sie mit der rechten Maustaste auf den „ADSI-Editor“ im linken Fensterbereich und wählen Sie die Option „Verbindung herstellen“. Daraufhin wird das Fenster „Verbindungseinstellungen“ angezeigt.
- Wählen Sie die Option „Bekannten Namenskontext auswählen“ und wählen Sie „Standardmäßiger Namenskontext“ aus der Dropdown-Liste aus.
- Klicken Sie auf „OK“, um zum Hauptfenster des ADSI-Editors zurückzukehren.
- Erweitern Sie „Standardmäßiger Namenskontext“ und wählen Sie den zugehörigen DC-Subnode aus. Klicken Sie mit der rechten Maustaste auf diesen Subnode und dann auf „Eigenschaften“.
- Gehen Sie im Fenster „Eigenschaften“ auf die Registerkarte „Sicherheit“ und wählen Sie „Erweitert“. Wählen Sie anschließend die Registerkarte „Überwachung“ und klicken Sie auf „Hinzufügen“.
- Klicken Sie auf „Prinzipal auswählen“. Daraufhin öffnet sich das Fenster „Benutzer oder Gruppe auswählen“. Geben Sie „Jeder“ in das Textfeld ein, prüfen Sie den Eintrag mit „Namen überprüfen“ und bestätigen Sie es mit „OK“.
- Der „Prinzipal" im Fenster „Überwachungseintrag“ zeigt nun „Alle“ an. Wählen Sie in der Dropdown-Liste „Typ“ die Option „Alle“, um sowohl Ereignisse des Typs „Erfolgreich“ als auch „Fehlgeschlagen“ zu überprüfen.
- Wählen Sie in der Dropdown-Liste „Anwenden auf“ die Option „Diesen Ordner, Unterordner und Dateien“. Das ermöglicht es, die von der OU abhängigen Objekte zu prüfen.
- Wählen Sie im Abschnitt „Grundlegende Berechtigungen“ die Option „Vollzugriff“, um alle verfügbaren Kontrollkästchen zu aktivieren. Deaktivieren Sie anschließend die folgenden Kontrollkästchen:
- Vollzugriff
- Inhalte auflisten
- Attribute lesen
- Berechtigungen lesen
- Klicken Sie auf „OK“.
Schritt 3: Lassen Sie sich Ereignisse (Events) in der Ereignisanzeige (Event Viewer) anzeigen
- Um geplante Tasks zu überwachen, öffnen Sie die „Ereignisanzeige“ und gehen Sie zu Windows-Protokolle > Sicherheit.
- Klicken Sie im rechten Bereich unter „Aktionen“ auf „Aktuelles Protokoll filtern…“.
- Suchen Sie nach der Ereignis-ID 4698, die geplante Tasks kennzeichnet.
- Mit einem Doppelklick auf ein Ereignis können Sie sich die Eigenschaften dieses Ereignisses anzeigen lassen.
Hinweis:
Die manuelle Überprüfung jedes Ereignisses ist zeitaufwändig, ineffizient und gerade für große Unternehmen praktisch unmöglich. Deutlich komfortabler geht es mit einer professionellen AD-Auditing- und -Reporting-Lösung wie ADAudit Plus, die Sie hier 30 Tage lang kostenlos und unverbindlich testen können.
Mit ADAudit Plus
ADAudit Plus enthält mehrere vorkonfigurierte Berichte zu geplanten Aufgaben, die eine Überwachung der Scheduled Tasks deutlich erleichtern. Die Berichte lassen sich bei Bedarf individuell anpassen und können als PDF-, XLS-, HTML- oder CSV-Datei exportiert werden.
Sobald Sie ADAudit Plus installiert haben, konfiguriert die Lösung automatisch die für das Active-Directory-Auditing erforderlichen Überwachungsrichtlinien – sofern Sie die automatische Konfiguration aktiviert haben.
So aktivieren Sie die automatische Konfiguration für das AD-Auditing:
Melden Sie sich bei ADAudit Plus an, gehen Sie zu Admin / Domain Settings / Audit Policy: Configure und aktivieren Sie die automatische Konfiguration.
So überwachen Sie Scheduled Tasks im Windows Task Manager mit ADAudit Plus
- Melden Sie sich bei ADAudit Plus an.
- Gehen Sie auf den Reiter „Server Audit“ und gehen Sie im linken Navigationsmenü zu „Process Tracking“. Hier finden Sie eine Liste mit vorkonfigurierten Berichten über die Prozessaktivität im Active Directory.
- Wählen Sie den Bericht „Scheduled Task Created“ aus, um sich alle neuen Scheduled Tasks anzeigen zu lassen.
In dem Bericht sehen Sie, welche neuen Aufgaben von wem geplant wurden. Bei Bedarf können Sie zusätzliche benutzerdefinierte Berichte erstellen. Sie können alle Berichte in den Formaten CSV, PDF, XSL und HTML exportieren.
Über ADAudit Plus
Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.
Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:
- Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
- Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
- Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
- Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
- Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Weitere Active-Directory-Tipps: