Verfasser: Norbert Fehlauer
So manch einer wird sich zwei Sachen fragen:
1. Wozu sollte man denn DNS Auditing aktivieren?
2. Was hat das ganze mit Gruppenrichtlinien zu tun?
Zuerst also zu den Gründen einer DNS Überwachungsrichtlinie. Je größer eine Active Directory Umgebung wird, umso eher gibt es die Notwendigkeit systemkritische Faktoren zu überwachen und gegebenenfalls zurückverfolgen zu können. Hierzu gehört für mich (seit kurzem) das Löschen von Active Directory integrierten DNS Zonen.
Persönliche Bemerkung: Es ist definitiv keine gute Idee die Forward Lookup Zone eines großen (ca. 100 DCs) AD im laufenden Betrieb „mal schnell“ zu löschen.
Zu Zweitens kann man automatisch mit dem Management-Gedanken antworten. Denn wer will die Richtlinie schon auf 100 DCs einrichten. Also ist der Kreis zu den Gruppenrichtlinien wieder geschlossen.
Aktivieren der Überwachung von Verzeichnisdienstzugriffen innerhalb einer GPO. Dafür bietet sich entweder eine Richtlinie auf Domänenebene oder auf Domänencontrollerebene an.
Abbildung 1: Aktivierung der Überwachungsrichtlinie von Verzeichnisdienstzugriffen
Damit ist die Voraussetzung geschaffen, um erfolgreiche und fehlgeschlagene AD-Ereignisse im Ereignisprotokoll wiederzufinden.
Um jedoch auch das richtige Ereignis eingetragen zu bekommen, muss innerhalb des Active Directory noch die Überwachung der DNS Zonen aktiviert werden. Hierbei ist vorher zu klären, wo genau die DNS Zonen gespeichert werden. Seit Windows 2003 gibt es standardmäßig zwei zusätzliche Anwendungspartitionen in denen DNS Zonen gespeichert werden können.
Abbildung 2: Speicherung von Zonendaten im Active Directory
Zusätzliche Informationen hierzu finden sich z.B. unter folgenden Links:
http://www.faq-o-matic.net/content/view/217/45/
und
http://support.microsoft.com/kb/884116/en-us
Deshalb nachfolgend einmal die Schritte für Umgebungen mit Windows 2000 Server und einmal für Windows Server 2003.
Windows 2000 bzw. Replikation der DNS Zonendaten auf alle Domänencontroller einer Domäne.
Innerhalb der MMC Active Directory-Benutzer und -Computer müssen im Menü Ansicht die „Erweiterten Funktionen“ aktiviert werden.
Abbildung 3: Erweiterte Funktionen aktivieren
Danach ist der „System“-Container sichtbar. In diesem wiederum befindet sich der Container „MicrosoftDNS“. In diesem werden alle Forward- und Reverse-Lookupzonen gespeichert. Möchte man die Überwachung für alle derzeitigen und zukünftigen Zonen aktivieren, wechselt man in die Eigenschaften von „MicrosoftDNS“ und ruft den Reiter „Sicherheit“ auf. Dort wiederum wechselt man in die „Erweitert“en Sicherheitseinstellungen auf und wechselt auf den Reiter „Überwachung“. In dieser Oberfläche wird jetzt „JEDER“ hinzugefügt und die zu überwachenden Ereignisse ausgewählt. Abbildung 4 zeigt die entsprechenden Punkte.
Abbildung 4: Überwachung konfigurieren
Werden die Zonendaten in der jeweiligen DNS Anwendungspartition gespeichert, braucht man adsiedit um die Überwachung zu konfigurieren, da diese nicht in der MMC Active Directory-Benutzer und –Computer angezeigt werden. Hierzu öffnet man adsiedit und fügt die entsprechende Partition hinzu. Siehe Abbildung 5.
Abbildung 5: DNS Partition in adsiedit hinzufügen
Die beiden Standardpartionen heißen:
DC=DomainDnsZones,DC=domain,DC=de
DC=ForestDnsZones,DC=domain,DC=de
Ab dann kann mit obiger Anleitung auch auf Windows Server 2003 weiter verfahren werden.
Sobald die Überwachung konfiguriert ist, werden Löschereignisse von DNS Zonen im Sicherheitsprotokoll der DCs protokolliert. Folgende Meldungen sind ab dann zu finden:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 566
Datum: 21.09.2006
Zeit: 15:30:00
Benutzer: DOMAIN\Testbenutzer
Computer: DC01
Beschreibung:
Objektvorgang:
Objektserver: DS
Vorgangstyp Object Access
Objekttyp: dnsZone
Objektname: DC=..Deleted-Hallo1.de\0ADEL:6a0e94e2-df73-1e33-b405-4ab7baef5424,CN=Deleted Objects,DC=Domain,DC=de
Handlekennung: -
Primärer Benutzername: DC01$
Primäre Domäne: DOMAIN
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: TESTBENUTZER
Clientdomäne: DOMAIN
Clientanmeldekennung: (0x0,0x70D94292)
Zugriffe DELETE
Eigenschaften:
DELETE
dnsZone
