07/2014 André Fritsche Seite 1 von 33
Gestern ging es Heute nicht mehr? Wer, hat was, wann und wo geändert, gelöscht? Was machen die Administratoren? Wer greift auf welche Daten und Systeme zu? Seite 2 von 33
Agenda Active Directory & Windows Server Weitere Module Password Manager Seite 3 von 33
User Auditing Wer hat einen Nutzer einer Sicherheitsgruppe hinzugefügt? Wer hat sich erfolgreich oder nicht erfolgreich angemeldet? Kann ich bei Änderungen benachrichtigt werden? Seite 4 von 33
User Auditing - Chart Seite 5 von 33
User Auditing - Report Seite 6 von 33
User Auditing Realtime Alerts Wer hat einen neuen Nutzer zur Administratoren Gruppe hinzugefügt? Wer hat OUs gelöscht Wer hat einen neuen Domain Controller hinzufügt Wer hat die Domäne umkonfiguriert Seite 7 von 33
User Auditing Realtime Alerts Seite 8 von 33
User Auditing Realtime Alerts Seite 9 von 33
Group Policy Auditing Wer hat die Passwortrichtlinie deaktiviert? Wer hat neue Policies hinzugefügt? Wer hat welche Policies verändert? Wer hat eine Policy von einer OU befreit? Seite 10 von 33
Exchange Auditing Wer hat ein Postfach gelöscht? Wer hat ein neues Postfach angelegt? Wer hat die Exchange Policies verändert? Wer hat auf ein fremdes Postfach zugegriffen Seite 11 von 33
Exchange Auditing - Email Seite 12 von 33
Server Auditing Windows SQL IIS Files Seite 13 von 33
Windows Server Auditing Seite 14 von 33
Windows Server Auditing Welche Software wurde installiert? Patches wurden installiert? DNS Änderungen wurden vorgenommen? AutoRun Änderungen wurden vorgenommen Wer hat Konfigurationen verändert? hat die Registry verändert? hat lokale Administratoren hinzugefügt? hat Freigaben eingerichtet? Seite 15 von 33
Windows Server Auditing - Charts Seite 16 von 33
Windows Server Auditing - Mail Seite 17 von 33
File Server Auditing Seite 18 von 33
File Server Auditing Gestern waren die Dateien noch da! Wer hat Berechtigungen verändert? Wer hat auf sensible Dateien/Ordner zugegriffen? Wer hat Dateien/Ordner gelöscht? Seite 19 von 33
SQL Server Auditing Wer hat die Tabellenstruktur einer DB geändert? Wer hat eine Datenbank gelöscht? Wer hat einen neuen Login erzeugt? Sind neue Instanzen aufgetaucht? Seite 20 von 33
Generic Events Wenn nichts anderes passt Seite 21 von 33
Supported Systems Windows SQL Active Directory Group Policy IIS MS Exchange Sharepoint NetApp EMC VMWare Seite 22 von 33
Additional Modules Active Directory Active Directory Recovery GPO Backup and Restore User Inactive User Tracking Password Expiration Alert Seite 23 von 33
Active Directory / GPO - Backup und Recovery Warum? Entfernt falsche Änderungen Entfernt unerlaubte Änderungen Kein Neustart des Domaincontrollers nötig Seite 24 von 33
Active Directory / GPO - Backup und Recovery Seite 25 von 33
Inactive User Tracking Prüft auf inaktive Nutzer Deaktiviert Nutzer automatisch Benachrichtigt den Vorgesetzten Versendet darüber Berichte Seite 26 von 33
Password Expiration Alert Benachrichtigt Nutzer über das Ablaufen von Passwörtern Benachrichtigt Vorgesetzte über das Ablaufen von Passwörtern und Konten Konfigurierbare Reminder (9, 7 und 2 Tage vor Ablauf) Seite 27 von 33
Password Manager Ich habe mich ausgesperrt! Ich habe mein Passwort vergessen! Mein Konto ist gesperrt! Seite 28 von 33
GUI Seite 29 von 33
Architecture Seite 30 von 33
Overview Seite 31 von 33
Seite 32 von 33
Vielen Dank für Ihre Aufmerksamkeit! Seite 33 von 33