DHCP Auditing einrichten

DHCP steht für Dynamic Host Configuration Protocol. Der DHCP Dienst gibt in einem Netzwerk automatisch IP-Adressen an die Arbeitsstationen aus. Der zentrale Zweig von DHCP ist die Integration in DNS (Domain Name System). Das Ziel der Integration ist die automatische Registrierung von Hostnamen und IP-Adressen bei DNS-Servern durch den DHCP-Server.

Der Client sendet ein DHCP-Discover (Broadcast) ins Netzwerk und erwartet von einem vorhandenen DHCP-Server ein DHCP-Offer (eine IP Adresse angeboten). Der Client nimmt die ihm angebotene IP Adresse (DHCP-Offer) an und sendet dem DHCP-Server ein DHCP-Request (ich nehme dein Angebot an). Der DHCP-Server bestätigt mit einem DHCP-Acknowledge (damit sind wir im Geschäft). Wird kein DHCP-Server erreicht, bekommt der Client über APIPA (Automatic Private IP Adressing) eine vorläufige IP aus dem Bereich 169.254.0.1 – 255.254.

Zur Nachverfolgung solcher Aktionen ist es wichtig, das die Auditing-Funktion aktiviert wird.

Powershell anzeigen

Auditing aktivieren maximale Logging Größe und Pfad bestimmen:

Set-DhcpServerAuditLog -ComputerName “DC01.ndsedv.de” -Enable $True -Path “C:\Logs\DHCP\Auditing\dhcpauditlog\” -MaxMBFileSize 100

Per Registry nur das Auditing aktivieren:

reg add HKLM\System\CurrentControlSet\Services\DhcpServer\Parameters /v ActivityLogFlag /t REG_DWORD /d 1

Maximale Logging Größe aller zu erstellenden Audit Logs anpassen:

Set-DhcpServerAuditLog -MaxMBFileSize 250 Set-DhcpServerAuditLog -MaxMBFileSize 4096

Dateipfade für die Logdateien anpassen:

netsh dhcp server set databasepath D:\Logs\DHCP netsh dhcp server set auditlog D:\Logs\DHCP\Auditing\dhcpauditlog

DHCP Auditing einrichten