Jump to content
Sign in to follow this  
McMegabyte

Überwachung: Anmeldeversuche vs. Anmeldeereignisse

Recommended Posts

Guten Morgen,

 

kennt ihr einen Link, wo der Unterschied zwischen den Überwachungsrichtlinien:

 

"Anmeldeversuche überwachen" und "Anmeldeereignisse überwachen"

 

noch einmal anders beschrieben wird?

 

Ich muss gestehen, der Unterschied in der Beschreibung in "Hilfe" und dem grünen

Übungsbuch wird mir nicht ganz klar.

 

Ich glaube es soweit verstanden zu haben, dass "Anmeldeversuche ü." sich nur auf

Anmeldungen am DC beziehen und es keine Rolle spielt, ob ich mich über eine

Terminalsitzung bzw. über eine Domänenanmeldung am Client authentifiziere.

 

Allerdings steht im grünen Buch unter "Anmeldeereignisse ü." folgender Wortlaut:

 

"Nur interaktive und Netzwerkanmeldungen am Domänencontroller selbst generieren Überwachungsereignisse."

 

Mit diesem Satz fällt mein bisheriges Verständnis zu den Unterschieden.

 

Ich hoffe, ihr könnt mir in dieser Sache eine Hilfestellung geben.

 

Mit den oben genannten Begriffen habe ich in diesem Forum nach Beiträgen gesucht,

bin aber leider nicht fündig geworden.

 

Vielen Dank im Voraus.

 

Liebe Grüße

 

Steven McMegabyte

Share this post


Link to post

Was den teil "Anmeldeversuche" angeht, liest du richtig. Das sind Alle Anmeldeversuche eines AD Benutzers, die der anmeldeüberprüfende DC loggt.

 

Anmeldeereignisse werden immer lokal geloggt, also Anmeldungen auf Clients oder direkt (interaktiv) am DC

 

 

grizzly999

Share this post


Link to post

Guten Abend,

 

ich versuche nun auch schon seit ein paar Tagen den Unterschied

zu verstehen und komme zu keinem vernünftigen Ergebnis.

 

In dem Microsoft-Trainings-Buch (70-290) gibt es im Kapitel Prüfungsvorbereitung

folgende Aufgabe:

 

(eigenständiger Windows Server 2003 mit IIS-Webserver kein Domänenmitglied)

 

Da vermutet wird, dass sich eine fremde Person über das erraten des Kennworts zur geschützten Website Zugriff verschafft, soll die Überwachung aktiviert werden.

 

Folgende Antworten stehen zur Verfügung:

 

A Erfolgreiche Anmeldeereignisse überwachen

B Fehlgeschlagene Anmeldeereignisse überwachen

C Erfolgreiche Anmeldeversuche überwachen

D Fehlgeschlagene Anmeldeversuche überwachen

E Erfolgreichen Objektzugriff überwachen

F Fehlgeschlagene Objektzugriff überwachen

 

Als richtige Antwort wird D angegeben.

 

Die Begründung dass A und B ausscheidet wird wie folgt beschrieben:

 

Zitat: „Diese Art von Ereignis tritt auf, wenn ein Konto sich bei einem Domänencontroller authentifiziert. Dieser Server ist eigenständig und kein Domänenmitglied.“

 

Ich habe einmal beide Richtlinien auf einem Server (kein DC, kein DC-Mitglied) aktiviert

und zu beiden Richtlinien einen Eintrag im Ereignisprotokoll erhalten.

 

Habe ich es immer noch nicht verstanden :confused: (ok, es ist schon etwas später) oder ist die Lösung

aus dem Buch nicht so ganz richtig?

 

Gruß Niko

Share this post


Link to post

Der Angreifer meldet sich nicht interaktiv an, er greift über das Netzwerk zu, deswegen nur ein Logon-Event. Wenn Du Dich interaktiv anmeldest, wird ein Account Logon Event (da dieser Server für das Konto authoritativ ist) und ein Logon Event protokolliert ...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...