Überwachung von DNS-Berechtigungsänderungen

Mit der nativen AD-Prüfung können Sie DNS-Berechtigungsänderungen wie folgt überwachen:

Schritt 1: Aktivieren Sie die Richtlinie “Anmeldeereignisse prüfen”

Starten Sie den Server Manager in Ihrem Windows Server.

Wählen Sie unter Verwalten die Option "Gruppenrichtlinienverwaltung" und starten Sie diese Konsole.

Navigieren Sie zu Forest → Domäne → Ihre Domäne → Domänencontroller.

Erstellen Sie ein neues GPO und verknüpfen Sie es mit der Domäne, die das Benutzerobjekt enthält, oder bearbeiten Sie ein vorhandenes GPO, das mit der Domäne verknüpft ist, um den "Gruppenrichtlinien-Verwaltungseditor" zu öffnen.

Navigieren Sie zu Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie.

Wählen Sie unter Überwachungsrichtlinie die Option "Directory Service Zugriff überwachen" und schalten Sie die Überprüfung ein für das Ereignis “Erfolg”.

Schritt 2: Erlauben Sie AD Auditing über ADSI Edit

Gehen Sie in Ihrem Server Manager zu Tools und wählen Sie “ADSI Edit”.

Klicken Sie mit der rechten Maustaste auf den Punkt “ADSI Edit” im linken Fenster und wählen Sie die Option “Verbinden mit”. Daraufhin wird das Fenster Verbindungseinstellungen angezeigt.

-Wählen Sie die Option “Standard-Namenskontext” aus der Dropdown-Liste “Einen bekannten Namenskontext auswählen”.

Klicken Sie auf “OK” und kehren Sie zum Fenster ADSI Edit zurück. Erweitern Sie Standard-Namenskontext und wählen Sie den zugehörigen Unterpunkt “DC”. Klicken Sie mit der rechten Maustaste auf diesen Unterpunkt und dann auf Eigenschaften.

Gehen Sie im Fenster Eigenschaften auf den Reiter Sicherheit und wählen Sie “Erweitert”. Wählen Sie anschließend den Reiter Überwachung und klicken Sie auf “Hinzufügen”.

-Wenden Sie die folgenden Einstellungen an.

1. Prinzipal: Jeder

2. Typ: Erfolg

3. Gilt für: -Dieses Objekt und alle abhängigen Objekte

4. Berechtigungen: Aktivieren Sie die Kontrollkästchen “Alle Eigenschaften schreiben”, “Löschen”, “Teilbaum löschen”.

Klicken Sie auf “Anwenden”, dann auf “OK”, und schließen Sie die Konsole.

Schritt 3: Aktivieren Sie das Auditing über den DNS Manager

Gehen Sie in Ihrem Server Manager zu Tools und wählen Sie “DNS”.

Erweitern Sie Ihren Servernamen und wählen Sie “Forward Lookup Zone”.

Klicken Sie mit der rechten Maustaste auf die Zone, die Sie überprüfen möchten, und klicken Sie auf Eigenschaften.

Gehen Sie im Fenster Eigenschaften auf den Reiter Sicherheit und wählen Sie “Erweitert”. Wählen Sie dann den Reiter Überwachung und klicken Sie auf “Hinzufügen”.

Wenden Sie die folgenden Einstellungen an

1. Prinzipal: Jeder

2. Typ: Erfolg

3. Gilt für: -Dieses Objekt und alle abhängigen Objekte

4. Berechtigungen: Aktivieren Sie die Kontrollkästchen “Alle Eigenschaften schreiben”, “Löschen”, “Teilbaum löschen”.

Klicken Sie auf “Anwenden”, dann auf OK, und schließen Sie die Konsole.

Schritt 4: Anzeigen von Ereignissen im Event Viewer

Gehen Sie im Fenster Event Viewer zu Windows-Protokolle → Sicherheitsprotokolle.

Klicken Sie in der rechten Leiste unter Aktion auf “Aktuelles Protokoll filtern”.

Suchen Sie nach der Ereignis-ID 5136, die DNS-Berechtigungsänderungen kennzeichnet.

-Sie können auf das Ereignis doppelklicken, um die Ereigniseigenschaften anzuzeigen.

Diese Schritte müssen für alle Zonen wiederholt werden, um Änderungen der DNS-Berechtigungen zu überprüfen. Die manuelle Überprüfung jedes Ereignisses ist zeitaufwändig, ineffizient und für große Unternehmen praktisch unmöglich.