Dressurausbildung Daniel Köck
Bewertung: 4 / 5
Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:
- Aktivieren der Überwachungsprotokollierung am DC
- Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
Powershell:
Add-ADGroupMember –identity ‘Ereignisprotokollleser’ –member FS01$
- GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
alternativ über:
wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’
wevtutil get-log security
Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.
Altaro
Windows 10/11 Updates
- KB5044384 Windows 11 24H2 26100.2161 optionales Update 2024-10-25 06:18:45
- KB5045594 Windows 10 22H2 19045.5073 optionales Update Oktober 2024-10-23 06:15:17
- KB5044380 Windows 11 23H2 22631.4391 optionales Update Oktober 2024-10-23 06:13:04
- KB5044273 Windows 10 22H2 19045.5011 Sicherheitsupdate Oktober 2024 2024-10-09 07:02:04
- KB5044284 Windows 11 24H2 26100.2033 Sicherheitsupdate Oktober 2024-10-09 06:58:44
- KB5044285 Windows 11 23H2 226×1.4317 Sicherheitspatch Oktober 2024 2024-10-09 06:57:14
- KB5043145 Windows 11 23H2 22631.4249 optionales Update 2024-09-27 06:21:05