McMegabyte 10 Geschrieben 8. Mai 2007 Melden Teilen Geschrieben 8. Mai 2007 Guten Morgen, kennt ihr einen Link, wo der Unterschied zwischen den Überwachungsrichtlinien: "Anmeldeversuche überwachen" und "Anmeldeereignisse überwachen" noch einmal anders beschrieben wird? Ich muss gestehen, der Unterschied in der Beschreibung in "Hilfe" und dem grünen Übungsbuch wird mir nicht ganz klar. Ich glaube es soweit verstanden zu haben, dass "Anmeldeversuche ü." sich nur auf Anmeldungen am DC beziehen und es keine Rolle spielt, ob ich mich über eine Terminalsitzung bzw. über eine Domänenanmeldung am Client authentifiziere. Allerdings steht im grünen Buch unter "Anmeldeereignisse ü." folgender Wortlaut: "Nur interaktive und Netzwerkanmeldungen am Domänencontroller selbst generieren Überwachungsereignisse." Mit diesem Satz fällt mein bisheriges Verständnis zu den Unterschieden. Ich hoffe, ihr könnt mir in dieser Sache eine Hilfestellung geben. Mit den oben genannten Begriffen habe ich in diesem Forum nach Beiträgen gesucht, bin aber leider nicht fündig geworden. Vielen Dank im Voraus. Liebe Grüße Steven McMegabyte Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Mai 2007 Melden Teilen Geschrieben 8. Mai 2007 Was den teil "Anmeldeversuche" angeht, liest du richtig. Das sind Alle Anmeldeversuche eines AD Benutzers, die der anmeldeüberprüfende DC loggt. Anmeldeereignisse werden immer lokal geloggt, also Anmeldungen auf Clients oder direkt (interaktiv) am DC grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Mai 2007 Melden Teilen Geschrieben 8. Mai 2007 Vielleicht hilft Dir das auch ein bisschen weiter ... http://www.mcseboard.de/windows-forum-allgemein-28/2k3-auditing-110455.html Zitieren Link zu diesem Kommentar
McMegabyte 10 Geschrieben 8. Mai 2007 Autor Melden Teilen Geschrieben 8. Mai 2007 Danke für die schnellen Antworten. Vielleicht hilft Dir das auch ein bisschen weiter ...http://www.mcseboard.de/windows-forum-allgemein-28/2k3-auditing-110455.html Ja, das hat mir auf jedenfall weitergeholfenSuper! Zitieren Link zu diesem Kommentar
DerNiko 10 Geschrieben 20. Mai 2007 Melden Teilen Geschrieben 20. Mai 2007 Guten Abend, ich versuche nun auch schon seit ein paar Tagen den Unterschied zu verstehen und komme zu keinem vernünftigen Ergebnis. In dem Microsoft-Trainings-Buch (70-290) gibt es im Kapitel Prüfungsvorbereitung folgende Aufgabe: (eigenständiger Windows Server 2003 mit IIS-Webserver kein Domänenmitglied) Da vermutet wird, dass sich eine fremde Person über das erraten des Kennworts zur geschützten Website Zugriff verschafft, soll die Überwachung aktiviert werden. Folgende Antworten stehen zur Verfügung: A Erfolgreiche Anmeldeereignisse überwachen B Fehlgeschlagene Anmeldeereignisse überwachen C Erfolgreiche Anmeldeversuche überwachen D Fehlgeschlagene Anmeldeversuche überwachen E Erfolgreichen Objektzugriff überwachen F Fehlgeschlagene Objektzugriff überwachen Als richtige Antwort wird D angegeben. Die Begründung dass A und B ausscheidet wird wie folgt beschrieben: Zitat: „Diese Art von Ereignis tritt auf, wenn ein Konto sich bei einem Domänencontroller authentifiziert. Dieser Server ist eigenständig und kein Domänenmitglied.“ Ich habe einmal beide Richtlinien auf einem Server (kein DC, kein DC-Mitglied) aktiviert und zu beiden Richtlinien einen Eintrag im Ereignisprotokoll erhalten. Habe ich es immer noch nicht verstanden (ok, es ist schon etwas später) oder ist die Lösung aus dem Buch nicht so ganz richtig? Gruß Niko Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Mai 2007 Melden Teilen Geschrieben 21. Mai 2007 Der Angreifer meldet sich nicht interaktiv an, er greift über das Netzwerk zu, deswegen nur ein Logon-Event. Wenn Du Dich interaktiv anmeldest, wird ein Account Logon Event (da dieser Server für das Konto authoritativ ist) und ein Logon Event protokolliert ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.