Ich wurde gebeten, herauszufinden, ob für einen unserer Windows-Server die Überwachung für den Zugriff auf Kennwort-Hash-Dateien oder andere zur Authentifizierung verwendete Dateien aktiviert ist.
Weiß jemand, ob eine Protokollierungs- oder Überwachungsfunktion für den erfolgreichen/erfolglosen Zugriff auf Kennwort-Hash-Dateien und andere Dateien vorhanden ist, die bei der Authentifizierung unter Windows Server 2008 R2 verwendet werden?
Antwort1
Über eine GPO können Sie die Überwachung vieler Dinge aktivieren. Gehen Sie dazu zu:
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy
Anschließend können Sie zu den Eigenschaften der betreffenden Dateien gehen und die Prüfung konfigurieren. Die Ergebnisse werden in den Protokollen von Windows angezeigt.