G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory

Das Active Directory stellt in einer Institution üblicherweise einen zentralen Punkt zur Authentisierung und Autorisierung beim Zugriff auf Netzressourcen dar. Änderungen an der Active-Directory-Struktur oder auch an einzelnen Domänen-Controllern können sich daher auf einen Großteil der IT einer Institution auswirken. Dies gilt sowohl für autorisierte als auch für unautorisierte Änderungen.

Werden sicherheitsrelevante Änderungen an der Konfiguration des Active Directory oder eines Domänen-Controllers, z. B. die Heraufstufung eines Servers zum Domänen-Controller, nicht dokumentiert oder protokolliert, so besteht die Möglichkeit, dass solche Änderungen nicht oder erst spät erkannt werden.

Die alleinige Protokollierung von sicherheitskritischen Vorfällen bzw. Änderungen ist jedoch nicht ausreichend. Damit sicherheitskritische Probleme erkannt werden können, muss zusätzlich auch eine regelmäßige Auswertung der Protokolle durchgeführt werden (siehe G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten).

Beispiele: