Security-Check

So erkennen Sie Hacker auf Servern

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Einbrüche in Active Directory erkennen

Um Einbrüche und Angriffe auf das Active Directory und die Berechtigungen zu finden, gibt es Überwachungsrichtlinien. Einstellungen dazu nehmen Sie über Gruppenrichtlinien vor. Um Anmeldungen im Active Directory zu überwachen, müssen Sie die Richtlinie Anmeldeereignisse überwachen aktivieren. Verknüpfen Sie die Richtlinie als Gruppenrichtlinie mit allen Computern. Sobald die Überwachung aktiviert ist, verwendet der Computer die Ereignisanzeige und den Bereich Windows-Protokolle\Sicherheit. An den Ereignissen ist zu sehen, wann sich ein Benutzer an- und wieder abgemeldet hat. Die Einstellungen dazu sind bei Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Erweiterte Überwachungsrichtlinienkonfiguration \ Überwachungsrichtlinien \ Kontoanmeldung zu finden.

Ein weiterer wichtiger Punkt sind folgende Einstellungen, die Sie aktivieren sollten:

Systemereignisse überwachen

Prozessnachverfolgung überwachen

Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick zur Sicherheit der Benutzerkonten.
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick zur Sicherheit der Benutzerkonten.
Foto: Thomas Joos

Interessante Einstellungen dazu finden Sie auch bei Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Erweiterte Überwachungsrichtlinienkonfiguration \ Überwachungsrichtlinien \ Kontoanmeldung. Ob die Einstellungen auf den Servern funktionieren, testen Sie mit dem Befehl auditpol /get /category:* in der Befehlszeile.

Ist die Überwachung erfolgreich, finden Sie in der Ereignisanzeige auf den Domänencontrollern über Windows-Protokolle\Sicherheit neue Einträge.

Mit dem Befehlszeilen-Tool LogonSessions von Sysinternals zeigen Sie angemeldete Sitzungen auf einem Computer an. Geben Sie den Befehl ohne Optionen ein, reicht unter Umständen der Puffer der Eingabeaufforderung nicht aus, da zu viele Informationen enthalten sind. Verwenden Sie in diesem Fall die Option logonsessions | more oder vergrößern Sie den Puffer der Eingabeaufforderung über deren Eigenschaften. Alternativ lassen Sie die Ausgabe über die Option > logon.txt in eine Datei umleiten. Das Tool ist sinnvoll für die Überwachung von Terminalservern.

Foto: alphaspirit - Fotolia.com

DEFT Linux 8.2 - Sicherheits-Live-CD für Administratoren

DEFT Linux ist eine Linux-Live-DVD, mit der sich Netzwerke auf Schwachstellen und Angreifer überprüfen lassen. Nach dem Download der ISO-Datei brennen Sie die Datei als Betriebssystem-Image und starten die Live-DVD. Nach dem Boot-Vorgang starten Sie die grafische Oberfläche mit deft-gui. Die Distribution bietet Linux-Security-Tools wie Autopsy Forensic Browser. Mit der Sicherheitslösung lassen sich Datenträger und Verzeichnisse auf verloren gegangene oder gelöschte Dateien untersuchen. Das Tool ist eine grafische Oberfläche des Forensik-Tools Sleuthkit TSK.

Zur Startseite