Anmeldeaktivität
Eine praktische Vorgehensweise für das Aufdecken von Angriffen und verdächtigen Aktivitäten ist das Überwachen der Anmeldeversuche. Windows 2000 bietet hier zwei Kategorien von Überwachungsrichtlinien: Die Kategorie „Audit Logon Events“ (Anmeldeereignisse überwachen) und die Kategorie „Audit Account Logon Events“ (Kontoanmeldeereignisse überwachen). Zunächst einmal mögen diese Bezeichnungen etwas verwirrend erscheinen, und es ist vielleicht nicht sofort klar, wo der Unterschied liegt. Mit „Audit Logon Events“ werden Anmeldeereignisse auf dem lokalen System erzeugt, auf dem auch der Anmeldevorgang auftritt. Das bedeutet, dass sich ein Benutzer an- oder abgemeldet hat, beziehungsweise auf einem Computer eine Verbindung zum Netzwerk hergestellt oder diese getrennt hat. Dagegen erzeugt die Kategorie „Audit Account Logon Events“ Ereignisse, sobald sich jemand mit einem Konto zu authentifizieren versucht, das auf dem Computer gespeichert ist, auf dem das Anmeldeereignis aufgenommen wurde. Damit ist gemeint, dass ein DC eine Anfrage zum Überprüfen eines Benutzerkontos erhalten hat und somit das Anmeldeereignis auch auf dem DC auftritt. Windows 2000 protokolliert sowohl die Anmeldungen am Domänenkonto wie auch am lokalen SAM-(Security Account Manager-)Konto. Meldet sich eine Person an einem bestimmten Arbeitsplatzrechner mit einem Domänenkonto an, so meldet sie sich nicht nur auf diesem Arbeitsplatzrechner an, sondern authentifiziert sich auch mithilfe eines Kontos, das auf dem DC gespeichert ist. Deshalb treten die Ereignisse im Zusammenhang mit Audit Logon Events im Sicherheitsprotokoll des Arbeitsplatzrechners und im Sicherheitsprotokoll des DCs auf. Die Kategorie Audit Logon Events erzeugt innerhalb kürzester Zeit Ereignisse auf dem DC, sobald sich jemand an dem System anmeldet. Das hängt damit zusammen, dass sich der Arbeitsplatzrechner als der jeweilige Anwender beim DC authentifiziert, um Gruppenrichtlinien auf der Benutzerebenen anzulegen. Audit Logon Events generieren auch Ereignisse auf Mitgliedsservern, da sich der Arbeitsplatzrechner, so wie er das Anmeldescript und die Laufwerkzuordnungen verarbeitet, bei verschiedenen Mitgliedsservern als der jeweilige Benutzer anmeldet, um Laufwerke auf gemeinsame Ordner abbilden zu können. Darüber hinaus ruft die Kategorie Audit Logon Events auf einem Server Ereignisse hervor, sobald sich eine Person an der Serverkonsole anmeldet oder entweder über das Netzwerk mit einem Domänenkonto oder einem lokalen Konto im SAM des Servers auf den Server zugreift. Vorgänge im Zusammenhang mit der Kategorie Audit Account Logon Events lassen sich aber nur dann erkennen, wenn sich jemand am Server mit einem lokalen Konto aus der SAM des Servers anmeldet (interaktiv oder über das Netzwerk), anstatt mit einem Domänenkonto.