Fragt kontinuierlich die aktuelle Audit-Politik ab, so dass der aktuelle Audit-Status jedes überwachten Systems in den Web Reports verfügbar ist. Policy Change Tracking fängt auch verschiedene Ereignisse im Zusammenhang mit Policy-Änderungen ab, wie z.B. die Änderung einer Domain-Passwort-Policy oder die Zuweisung eines Benutzerrechts.
Richtlinienänderungen
Verfolgt alle Richtlinienänderungen, einschließlich
• Änderungen der Domänenrichtlinien (z. B. Änderungen der Passwortrichtlinien)
• Änderungen der Überwachungsrichtlinien
• Änderungen der Kerberosrichtlinien
Event IDs |
Policy Changes
Windows 2003 und älter 612, 617, 643
Windows Vista, Windows 2008 und später 4719, 4713, 4739 |
Benutzerrechte
Überwacht wenn Benutzerrechte an Benutzerkonten zugewiesen oder von Benutzerkonten entfernt werden, z.B. das Recht "Auslagerungsdatei erstellen".
Event IDs |
User Rights Changes
Windows 2003 und älter 608, 609
Windows Vista, Windows 2008 und später 4704, 4705 |
Anmelderechte
Überwacht wenn Anmelderechte gewährt oder aus Benutzerkonten entfernt werden, z.Bsp. "Logon as a service".
Event IDs |
Logon Rights Changes
Windows 2003 und älter 621, 622
Windows Vista, Windows 2008 und später 4717, 4718 |
Vertrauensbeziehungen
Überwatcht alle Änderungen an Vertrauensbeziehungen, einschließlich der Erstellung, Änderung und Entfernung von Vertrauensbeziehungen.
Event IDs |
Trust Relationship Changes
Windows 2003 und älter 610, 611, 620
Windows Vista, Windows 2008 und später 4706, 4707, 4716 |
Quell-IP-Adresse und Computername abrufen
Wenn die im Kontoverwaltungsereignis enthaltene Anmelde-ID mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann enthält EventSentry die IP-Adresse und/oder den Hostnamen. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar ist, wird ein DNS (Reverse) Lookup durchgeführt, um die fehlenden Informationen zu ermitteln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
