MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: windows
active_directory

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
active_directory [2025/03/28 22:58]
jango [Event-Log] 		active_directory [2025/04/10 22:03] (aktuell)
jango
Zeile 2: Zeile 2:
  
 Siehe auch [[coding:powershell#Active Directory|Powershell]]. Siehe auch [[coding:powershell#Active Directory|Powershell]].
 +
 +<code>
 +repadmin /syncall /AeD
 +repadmin /syncall /d /e <NameDesDCs> DC=DomainDnsZones,<deine-Domain>
 +dnscmd /zoneinfo domain.local
 +</code>
  
 =====Reversible Encryption===== =====Reversible Encryption=====
Zeile 242: Zeile 248:
   * [[DNS]] Server   * [[DNS]] Server
   * [[DHCP]] Server   * [[DHCP]] Server
-  * Active Directory Certificate Services (ADCS)+  * [[ADCS]] (Active Directory Certificate Services)
   * Remote Access Server (RAS) - [[VPN]]   * Remote Access Server (RAS) - [[VPN]]
   * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, Zertifikatsmanagment, Single-SignOn (SSO), Smartcards   * Microsoft Active Directory Federation Services ([[adfs|ADFS]]) - Verschlüsselung, Zertifikatsmanagment, Single-SignOn (SSO), Smartcards
Zeile 268: Zeile 274:
  
 ====Event-Log==== ====Event-Log====
-Wichtige Event IDs+Wichtige Event IDs (unsortiert) [[todo]]
  
 ^ID^Beschreibung^ ^ID^Beschreibung^
Zeile 274: Zeile 280:
 |4625|An account failed to log on.| |4625|An account failed to log on.|
 |---|---| |---|---|
 +|4727|A security-enabled global group was created.|
 +|4728|A member was added to a security-enabled global group.|
 +|4730|A security-enabled global group was deleted.|
 +|4732|A member was added to a security-enabled local group.|
 +|4737|A security-enabled global group was changed.|
 +
 |4663|Ein Objekt wurde zugegriffen (z. B. Datei-/Ordnerzugriff).| |4663|Ein Objekt wurde zugegriffen (z. B. Datei-/Ordnerzugriff).|
 |4656|Ein Handle wurde für ein Objekt angefordert (zeigt an, dass ein Zugriff versucht wurde).| |4656|Ein Handle wurde für ein Objekt angefordert (zeigt an, dass ein Zugriff versucht wurde).|
Zeile 286: Zeile 298:
 |4738|A user account was changed.| |4738|A user account was changed.|
 |4740|A user account was locked out.| |4740|A user account was locked out.|
-|4741|A computer account was changed.| +|4741|A computer account was chreated.| 
-|4742|A computer account was changed??|+|4742|A computer account was changed.|
 |4743|A computer account was deleted| |4743|A computer account was deleted|
 |4744|A security-disabled local group was created.| |4744|A security-disabled local group was created.|
Zeile 327: Zeile 339:
 |4788|A nonmember was removed from a basic application group.| |4788|A nonmember was removed from a basic application group.|
  
 +4698: A scheduled task was created.
 +4699: A scheduled task was deleted.
 +4700: A scheduled task was enabled.
 +4701: A scheduled task was disabled.
 +4702: A scheduled task was updated.
 +
 +1002: malware scan stopped before completing scan
 +1003: malware scan paused
 +1005: malware scan failed
 +1006, 1116: malware or unwanted software detected
 +1007, 1117: action to protect system performed
 +1008, 1118: action to protect system failed
 +1009: item restored from quarantine
 +1012: unable to delete item in quarantine
 +1015: suspicious behavior detected
 +1119: critical error occurred when taking action
  
 [[ToDo]] [[https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor]] [[ToDo]] [[https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor]]
  
 +===User & Group Managment===
 +
 +Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Kontenverwaltung
 +
 +  * Benutzeranmeldeereignisse überwachen(für Benutzeranmeldungen und -abmeldungen)
 +  * Benutzer- und Gruppenänderungen überwachen (Für Änderungen an Benutzerkonten und Gruppenmitgliedschaften)
 +
 +Überwachungsrichtlinie für "Objektzugriffsüberwachung" aktivieren:
 +
 +Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Objektzugriff
 +
 +Aktiviere: Zugriff auf Datei-/Ordnerschutz. Das ist wichtig, um Berechtigungsänderungen an Benutzerkonten und Gruppen zu überwachen.
 +
 +User Managment
 +
 +^Event ID^Beschreibung^
 +|4720|A user account was created (Benutzerkonto erstellt)|
 +|4726|A user account was deleted (Benutzerkonto gelöscht)|
 +|4738|A user account was changed (Allgemeine Änderungen am Benutzerkonto)|
 +|4767|A user account was unlocked (Konto entsperrt)|
 +|4740|A user account was locked out (Konto gesperrt)|
 +|4725|A user account was disabled (Konto deaktiviert)|
 +|4722|A user account was enabled (Konto aktiviert)|
 +|4723|An attempt was made to change an account's password (Benutzer ändert eigenes Passwort)|
 +|4724|An attempt was made to reset an account's password (Administrator setzt Benutzerpasswort zurück)|
 +|4728|A member was added to a security-enabled global group|
 +|4729|A member was removed from a security-enabled global group|
 +|4732|A member was added to a security-enabled local group|
 +|4733|A member was removed from a security-enabled local group|
 +|4756|A member was added to a security-enabled universal group|
 +|4757|A member was removed from a security-enabled universal group|
 +
 +
 +
 +Security Groups
 +^Event ID^Beschreibung^
 +|4727|A security-enabled global group was created|
 +|4728|A member was added to a security-enabled global group|
 +|4729|A member was removed from a security-enabled global group|
 +|4730|A security-enabled global group was deleted|
 +|4731|A security-enabled local group was created|
 +|4732|A member was added to a security-enabled local group|
 +|4733|A member was removed from a security-enabled local group|
 +|4734|A security-enabled local group was deleted|
 +|4754|A security-enabled universal group was created|
 +|4755|A member was added to a security-enabled universal group|
 +|4756|A member was removed from a security-enabled universal group|
 +|4757|A security-enabled universal group was deleted|
 +
 +Distribution Groups
 +^Event ID^Beschreibung^
 +|4744|A distribution group was created|
 +|4745|A member was added to a distribution group|
 +|4746|A member was removed from a distribution group|
 +|4747|A distribution group was deleted|
 +
 +
 +===NTFS Berechtigungen===
 +
 +Objektzugriffsüberwachung muss aktiviert sein. 
 +
 +Gruppenrichtlinien: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinien -> Objektzugriff
 +
 +Aktiviere die Option: Datei- und Ordnerschutz überwachen
 +
 +Alternativ in klassischen Richtlinien: Objektzugriff überwachen -> Erfolg & Fehlschlag aktivieren
 +
 +
 +Gehe zum Ordner oder Laufwerk, das du überwachen möchtest: Rechtsklick -> Eigenschaften -> Sicherheit -> Erweitert -> Überwachung
 +
 +Füge "Jeder" oder eine spezifische Benutzer-/Gruppe hinzu.
 +
 +Wähle die Berechtigungen aus, die überwacht werden sollen, z. B.:
 +
 +  * Lesen
 +  * Ändern
 +  * Schreiben
 +  * Löschen
 +  * Erstellen
 +
 +Wenn du alle Zugriffsarten überwachen möchtest, wähle "Vollzugriff" aus, um eine detaillierte Protokollierung zu erhalten.
 +
 +^Event ID^Beschreibung^
 +|4670|Permissions on an object were changed (Änderung von NTFS-Berechtigungen)|
 +|4674|An operation was attempted on a privileged object (Änderung an einem geschützten Objekt)|
 +|5145|A network share object was checked to see whether client can be granted desired access (Prüfung von Freigabeberechtigungen)|
 +|4660|An object was deleted (Objekt gelöscht, z.B. eine Datei oder ein Ordner)|
 +|4663|An attempt was made to access an object (Allgemeiner Objektzugriff, wenn aktiviert)|
 +|4662|An operation was performed on an object (Änderung des Besitzes von Dateien/Ordnern)|
 +|4656|A handle to an object was requested (Zugriffsversuch auf ein Objekt mit Berechtigungsänderung)|
 +
 +===SMB Share Berechtigungen===
 +
 +untested
 +
 +^Event ID^Beschreibung^
 +|5142|A network share object was added.|
 +|5143|A network share object was modified.|
 +|5144|A network share object was deleted.|
 +===Powershell Script===
 <code powershell> <code powershell>
 # Definieren Sie den Zeitraum für die Überwachung (z.B. die letzten 7 Tage) # Definieren Sie den Zeitraum für die Überwachung (z.B. die letzten 7 Tage)
active_directory.1743199135.txt.gz · Zuletzt geändert: 2025/03/28 22:58 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki