Sicherheit im Active Directory

Überwachungseinstellungen

Neben den Berechtigungen können bei den erweiterten Einstellungen auch Überwachungseinstellungen konfiguriert werden. Diese sind nur wirksam, wenn die Überwachung des Active Directory über die Gruppen- oder lokalen Sicherheitsrichtlinien aktiviert wurde. Auch diese Einstellungen können geerbt werden.

Nachvollziehbar: Für jedes Objekt können im Active Directory auch Überwachungseinstellungen konfiguriert werden. Damit lässt sich genau erkennen, wann welche Änderungen an dem Objekt vorgenommen wurden.

Die Definition von Überwachungseinstellungen muss genau geplant werden. Grundsätzlich spricht einiges dafür, Änderungen im Active Directory zu protokollieren. Andererseits gilt die Grundregel, dass Überwachungsprotokolle nur etwas bringen, wenn man sie auch auswertet. Anders formuliert: Solange man keine Prozeduren hat, um die Überwachungsprotokolle regelmäßig zu analysieren und Abweichungen darin zu erkennen, kann man auch auf deren Aufzeichnung verzichten.

Bei den Überwachungseinstellungen kann genau gesteuert werden, was protokolliert werden soll. Die Einstellungen werden jeweils für einen Benutzer oder eine Gruppe und bestimmte Zugriffe gesetzt. Dabei können sowohl erfolgreiche Zugriffe, also beispielsweise zulässige Änderungen, als auch nicht zulässige Zugriffe protokolliert werden.

Da das Active Directory ein für das Funktionieren von Netzwerken kritisches Element ist, kann auch die Überwachung von positiven Zugriffen Sinn machen, um auf diese Weise eine Änderungshistorie zu erhalten. Allerdings muss man sich im Klaren darüber sein, dass diese sehr umfangreich werden kann – vor allem, wenn sich Berechtigungen über große Teile einer Domänenstruktur hinweg vererben.

Es bietet sich daher an, die Überwachung zunächst für wenige Bereiche zu aktivieren, um damit vertraut zu werden, und sie später auszubauen, wenn man ein Gefühl für die Menge der protokollierten Daten entwickelt hat und weiß, welche der Protokollinformationen man tatsächlich benötigt.