So prüfen Sie, ob die Systemzeit geändert wurde

Cyber-Forensik ist auf Zeitstempel in Protokolldateien angewiesen, um eine genaue Abfolge und Korrelation von Ereignissen zu ermitteln. Dies ist eine Herausforderung, wenn Protokolldateien über verschiedene geografische Standorte hinweg zur Untersuchung von Ereignissen korreliert werden müssen. Zuverlässige Überwachung und Echtzeitwarnungen hängen von synchronisierten Zeiten in den Protokolldateien ab. Selbst die kleinste Zeitverschiebung von ein paar Sekunden könnte dazu führen, dass Sie ein verdächtiges Ereignis in Ihrem Netzwerk übersehen. Daher ist es für Administratoren unerlässlich, dass sie über alle Änderungen der Systemzeit benachrichtigt werden.

In diesem Artikel erfahren Sie, wie Sie systemeigene AD-Tools zur Überwachung von Systemzeitänderungen verwenden können. Alternativ dazu bietet Ihnen die ADAudit Plus-Lösung mit einer intuitiven grafischen Oberfläche, Analysediagrammen und vorkonfigurierten Berichten eine schnellere Möglichkeit, dies zu tun.

Kostenfreier Download Kostenlose, voll funktionsfähige 30-Tage-Testversion

Mit Native AD Auditing
Mit ADAudit Plus

Wie Sie Änderungen der Systemzeit mit ADAudit Plus verfolgen können.
Um geplante Aufgaben verfolgen zu können, müssen Sie die Überwachung Ihres Active Directory aktivieren. (Siehe Schritt 1 auf der Seite "Native AD Auditing").
Hier finden Sie eine Liste von vorkonfigurierten Berichten über Prozessaktivitäten innerhalb von AD.
Sie können den Bericht Geänderte Systemzeit auswählen, um zu sehen, ob eine Änderung der Systemzeit vorgenommen wurde.
Sie können auch benutzerdefinierte Berichte erstellen und Berichte in den Formaten CSV, PDF, XSL und HTML exportieren.
Active Directory Auditing ist jetzt noch einfacher!
ADAudit Plus wird mit mehr als 300 vordefinierten Berichten geliefert, die das AD-Auditing einfacher machen. Die Lösung generiert auch Echtzeit-Warnungen für kritische Ereignisse, um Ihr Netzwerk vor Bedrohungen zu schützen und Ihre IT-Sicherheit zu erhöhen. Informieren Sie sich hier über die Möglichkeiten von ADAudit Plus.
ADAudit Plus herunterladen

Schritt 1: Aktivieren der GPO-Überwachung
Starten Sie den Server Manager und öffnen Sie die Konsole Gruppenrichtlinienverwaltung (Group Policy Management Console; GPMC).
Erweitern Sie im linken Fensterbereich die Punkte "Forest" und "Domänen", um die angegebene Domäne anzuzeigen, für die Sie die Änderungen verfolgen möchten.
Sie können auch eine Domänenrichtlinie wählen, die für die gesamte Domäne gilt, oder ein neues GPO erstellen und es mit der Standarddomänenrichtlinie verknüpfen.
Klicken Sie auf "Bearbeiten" der gewünschten Gruppenrichtlinie, um den Gruppenrichtlinien-Verwaltungseditor zu öffnen.
Erweitern Sie Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Richtlinienkonfigurationen → Überwachungsrichtlinie → Systeme → Sonstige Systemereignisse.
Aktivieren Sie die Prüfung für die Ereignisse "Erfolg" und "Misserfolg". Beenden Sie die Verwaltung der Gruppenrichtlinien.
Wählen Sie in der GPMC das geänderte GPO aus, und klicken Sie im Abschnitt Sicherheit auf der rechten Seite auf "Hinzufügen". Geben Sie "Jeder" in das Textfeld ein und klicken Sie auf "Namen prüfen", um den Wert zu übernehmen. Verlassen Sie die GPMC.
Um diese Änderungen in der gesamten Domäne durchzusetzen, führen Sie in der Konsole Ausführen den Befehl "gupdate /force" aus.
Schritt 2: Erlauben Sie AD Auditing durch ADSI Edit
Gehen Sie in Ihrem Server Manager auf Tools und wählen Sie “ADSI Edit”.
Klicken Sie mit der rechten Maustaste auf den Punkt “ADSI Edit” im linken Fensterbereich und wählen Sie die Option "Verbinden mit". Daraufhin wird das Fenster Verbindungseinstellungen geöffnet.
Wählen Sie die Option “Standard-Namenskontext” aus der Dropdown-Liste Einen bekannten Namenskontext auswählen.
Klicken Sie auf "OK" und kehren Sie zum ADSI-Bearbeitungsfenster zurück. Erweitern Sie die Option “Standard-Namenskontext” und wählen Sie den zugehörigen Unterpunkt “DC”. Klicken Sie mit der rechten Maustaste auf diesen Unterpunkt und dann auf "Eigenschaften".
Gehen Sie im Fenster Eigenschaften auf die Karteikarte Sicherheit und wählen Sie "Erweitert". Wählen Sie anschließend die Kartei Überwachung und klicken Sie auf "Hinzufügen".
Klicken Sie auf "Prinzipal auswählen". Daraufhin wird ein Fenster “Benutzer, Computer oder Gruppe auswählen" angezeigt. Geben Sie “Jeder” in das Textfeld ein und bestätigen Sie es mit “Namen prüfen”.
Prinzipal im Fenster Überwachungseintrag zeigt nun "Jeder" an. Wählen Sie in der Dropdown-Liste Typ die Option "Alle", um sowohl "erfolgreiche" als auch "fehlgeschlagene" Ereignisse zu prüfen.
Wählen Sie in der Dropdown-Liste Auswahl die Option "Dieses Objekt und alle abhängigen Objekte". Wählen Sie im Abschnitt Berechtigungen die Option "Volle Kontrolle".
Dadurch werden alle verfügbaren Kontrollkästchen aktiviert. Heben Sie die Markierung der folgenden Kontrollkästchen auf:
1. Vollständige Kontrolle
2. Inhalt auflisten
3. Alle Eigenschaften lesen
4. Berechtigungen lesen
Schritt 3: Ereignisse im Event Viewer anzeigen
Sie können Ereignisse anzeigen, indem Sie im Event Viewer auf "Sicherheitsprotokolle" zugreifen. Sie können Ihr Protokoll filtern, um nach dem folgenden Ereignis zu suchen.
Ereignis-ID: 4616 beschreibt ein Ereignis, bei dem die Systemzeit geändert wurde.