scusimarcus
Goto Top

GPO - Erweiterte Überwachungskonfiguration auf DC wird nicht übernommen

Hallo Leute,

Folgender Sachverhalt (Server 2012 R2):

OU Domain Controller enthält einmal die Default Domain Controller Policy sowie eine Härtungsrichtlinie nach CIS-CAT. In dieser Härtungsrichtlinie sind u.a. auch die Sicherheitseinstellungen für die erweiterte Überwachungskonfiguration konfiguriert.
Ein GPRESULT auf einem der DC´s zeigt mir an dass alle Einstellungen erfolgreich übernommen worden. SECPOL allerdings sagt mir das die Einstellungen nicht vorhanden sind. Eine Prüfung mit Nessus bestätigt letztere Aussage.

Ich habe das Vorgehen auch schon bei den Kennwortrichtlinien beobachtet. D.h. Kennwortrichtlinien in der Härtungsrichtlinie werden nicht beachtet, sondern nur die der Default Domain Policy übernommen. Das hat sicher mit der "1-Kennwortpolicy-pro-Domäne-Richtlinie" von Microsoft zu tun. Gilt selbiges aber auch für die erweiterten Überwachungskonfigurationen?

Danke schonmal !

Beste Grüße
marcus

Content-Key: 342014

Url: https://administrator.de/contentid/342014

Printed on: April 25, 2024 at 14:04 o'clock

Member: DerWoWusste
DerWoWusste Jun 29, 2017 at 14:51:19 (UTC)
Goto Top
Hi.

Du verstehst etwas falsch. In secpol.msc sind zwar gewisse Bereiche ausgegraut, wenn sie durch eine Domänen-GPO gesetzt werden, ja, aber secpol.msc reflektiert nicht generell, was aktiv ist. Dazu nimm
gpresult /h %temp%\outfile.html /f & %temp%\outfile.html
Member: scusimarcus
scusimarcus Jun 29, 2017 updated at 15:18:43 (UTC)
Goto Top
Danke für deine Antwort!

Wie bereits geschrieben sagt mir gpresult dass alles übernommen wurde. Jedoch scheint dies nicht der Fall zu sein.
Wenn Nessus den Status abfragt kommt nur "NULL" zurück. Von daher geh ich davon aus dass da etwas nicht so ganz hinhaut. Secpol.msc zeigt mir aber auch an welche Einstellungen bereits über eine GPO konfiguriert sind. Entsprechend kann ich diese Einstellungen nicht mehr verändern. Genau das verhalten würde ich dann auch bei den erweiteren Überwachungskonfigurationen erwarten. Aber genau dort kann ich weiterhin fröhlich lokale Einstellungen vornehmen...

Gruß
Member: DerWoWusste
Solution DerWoWusste Jun 29, 2017 at 15:18:53 (UTC)
Goto Top
Ich kann mich nur wiederholen - du missverstehst, was secpol macht/kann.
Ich würde Nessus' Output in Frage stellen und stattdessen manuell solche Ereignisse provozieren und im Eventlog nachprüfen.
Member: scusimarcus
scusimarcus Jun 29, 2017 at 15:29:49 (UTC)
Goto Top
Es wäre sicherlich sinnvoller wenn du mir freundlicherweise erklären könntest was ich missverstehe face-smile

Danke und Gruß
Member: DerWoWusste
DerWoWusste Jun 29, 2017 at 15:57:10 (UTC)
Goto Top
Secpol.msc ist ein Subset des lokalen Gruppenrichtlinieneditors gpedit.msc - nämlich das mit den sicherheitsrelevanten Policies.

Der lokale GP-Editor ist nicht dazu da, anzuzeigen, was für Policies gelten. Du suchst eine Funktion, die der schlicht nicht hat. Die gesuchte Funktion hat rsop.msc oder eben gpresult. Dass einige Bereiche freundlicherweise ausgegraut werden, wenn eine Domänen-GPO dies vorschreibt, heißt nicht, dass generell alle Bereiche die Domänen-GPOs anzeigen. Es ist ein lange bekanntes Missverständnis, dass dies so sein müsste. Die Entscheidung seitens Microsoft, dass da überhaupt etwas ausgegraut wird ist sonderbar und schon viele Admins haben sich darüber gewundert - denn bei den ganzen anderen GPOs (Tausende) ist es ja auch nicht so.

Mach einfach das Beste draus, siehe voriges Kommentar.
Member: pvlavh
pvlavh Aug 07, 2018 at 09:29:27 (UTC)
Goto Top
rsop.msc zeigt mir die erweiterten Überwachungsrichtlinien nicht an.
gpresult /R hingegen schon