Was Ist Active Directory Sicherheitsüberwachung?
Active Directory ist die am häufigsten angegriffene Infrastrukturkomponente in Unternehmensumgebungen — aber auch eine der am wenigsten überwachten. Die meisten Organisationen generieren Windows Security-Events von Domain Controllern, verfügen aber nicht über die Korrelation, Alarmierung und Baseline-Analyse, um laufende Angriffe zu erkennen.
Sicherheitsüberwachung in AD geht nicht darum, Logs zu sammeln — es geht darum zu wissen, welche Events wichtig sind, wie Normalität aussieht und wann etwas abweicht.
Wesentliche Audit-Richtlinien-Konfiguration
Über GPO deployen: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinien
| Kategorie | Unterkategorie | Einstellung | Wichtige Events |
|---|---|---|---|
| Kontoanmeldung | Kerberos-Authentifizierung | Erfolg/Fehler | 4768, 4769, 4771 |
| Kontoverwaltung | Benutzer/Gruppen | Erfolg/Fehler | 4720, 4728, 4738 |
| DS-Zugriff | Verzeichnisdienst-Zugriff | Erfolg | 4662 |
| DS-Zugriff | Verzeichnisdienst-Änderungen | Erfolg | 5136, 5141 |
| Anmeldung | Anmeldung | Erfolg/Fehler | 4624, 4625 |
| Objektzugriff | Zertifizierungsdienste | Erfolg/Fehler | 4886, 4887 |
SIEM-Erkennungsabfragen (Elastic KQL)
DCSync-Erkennung:
event.code: "4662" AND
winlog.event_data.Properties: ("*1131f6ad*" OR "*1131f6aa*") AND
NOT winlog.event_data.SubjectUserName: ("*$")
Kerberoasting:
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
Privilegierte Gruppenänderung:
event.code: ("4728" OR "4732" OR "4756") AND
winlog.event_data.TargetUserName: ("Domain Admins" OR "Enterprise Admins")
Behebung
💡 Schnelle Massnahme: Aktivieren Sie
Audit Directory Service ChangesundAudit Directory Service Accessauf allen Domain Controllern sofort.
auditpol /set /subcategory:"Directory Service Changes" /success:enable
auditpol /set /subcategory:"Directory Service Access" /success:enable
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
# Security-Log auf 1 GB setzen
wevtutil sl Security /ms:1073741824 /rt:false /ab:true
So Erkennt EtcSec Dies
EtcSec überprüft Ihre Audit-Richtlinien-Konfiguration bei jedem AD-Scan und identifiziert Lücken, die kritische Angriffe unentdeckt lassen würden.
Überwachungsbezogene Prüfungen kennzeichnen Domain Controller mit unzureichender Audit-Richtlinien-Abdeckung, fehlender Log-Weiterleitungskonfiguration und zu kleinen Security-Log-Größen.
ℹ️ Hinweis: EtcSec prüft Ihre Sicherheitsüberwachungsposition automatisch. Starten Sie ein kostenloses Audit.
