(0) exportieren Drucken
Alle erweitern

Neues in der Windows-Sicherheitsüberwachung

Letzte Aktualisierung: März 2010

Betrifft: Windows Server 2008 R2

Worin bestehen die wichtigsten Änderungen?

Es gibt eine Reihe von Erweiterungen bei der Überwachung in Windows Server® 2008 R2 und Windows® 7, die mehr Details in Sicherheitsüberwachungsprotokollen bieten und die Bereitstellung und Verwaltung von Überwachungsrichtlinien vereinfachen. Zu diesen Erweiterungen zählen:

  • Globale Objektzugriffsüberwachung. In Windows Server 2008 R2 und Windows 7 können Administratoren computerweite Systemzugriff-Steuerungslisten (System Access Control Lists, SACLs) für das Dateisystem oder die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt des jeweiligen Typs angewendet. Dies kann hilfreich sein, wenn Sie überprüfen möchten, ob alle kritischen Dateien, Ordner und Registrierungseinstellungen auf einem Computer geschützt sind, und wenn Sie bei einer Systemressource auftretende Probleme identifizieren möchten.

  • Berichte über Zugriffsgründe Diese Liste mit Zugriffssteuerungseinträgen (Access Control Entries, ACEs) enthält die Rechte, auf denen die Entscheidung über das Zulassen oder Verweigern des Zugriffs auf das Objekt basierte. Dies kann hilfreich sein beim Dokumentieren der Berechtigungen, beispielsweise der Gruppenmitgliedschaften, die das Auftreten eines bestimmten überwachbaren Ereignisses zulassen oder verhindern.

  • Erweiterte Überwachungsrichtlinieneinstellungen. Diese 53 neuen Einstellungen können anstelle der neun grundlegenden Überwachungseinstellungen in Lokale Richtlinien/Überwachungsrichtlinie verwendet werden. Administratoren können die zu überwachenden Aktivitätstypen genauer abstimmen und nicht notwendige Überwachungsaktivitäten eliminieren, die die Verwaltung und die Verständlichkeit der Überwachungsprotokolle erschweren.

In den folgenden Abschnitten werden diese Erweiterungen detailliert beschrieben.

Was bewirken diese Überwachungserweiterungen?

In Windows XP haben Administratoren neun Kategorien mit Sicherheitsüberwachungsereignissen, die sie auf Erfolg und/oder Fehler überwachen können. Diese Ereignisse sind recht breit gefasst und können durch eine Vielzahl ähnlicher Aktionen ausgelöst werden, durch die zum Teil zahlreiche Ereignisprotokolleinträge generiert werden.

In Windows Vista® und Windows Server 2008 wurde die Anzahl der überwachbaren Ereignisse von neun auf 53 erweitert, sodass ein Administrator mehr Auswahlmöglichkeiten bei der Anzahl und den Typen der zu überwachenden Ereignisse hat. Im Gegensatz zu den neun grundlegenden Windows XP-Ereignissen sind diese neuen Überwachungsereignisse jedoch nicht in die Gruppenrichtlinien integriert und können nur mithilfe von Anmeldeskripts bereitgestellt werden, die mit dem Befehlszeilentool Auditpol.exe generiert werden.

In Windows Server 2008 R2 und Windows 7 wurden alle Überwachungsfunktionen in die Gruppenrichtlinien integriert. Auf diese Weise können Administratoren diese Einstellungen in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In Lokale Sicherheitsrichtlinie für eine Domäne, einen Standort oder eine Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten. In Windows Server 2008 R2 und Windows 7 können IT-Professionals das Auftreten genau definierter signifikanter Aktivitäten im Netzwerk leichter nachverfolgen.

Mithilfe der Überwachungsrichtlinienerweiterungen in Windows Server 2008 R2 und Windows 7 können Administratoren Geschäftsregeln und Überwachungsrichtlinien verbinden. Durch Anwenden von Überwachungsrichtlinien für Domänen oder Organisationseinheiten beispielsweise können Administratoren die Konformität dokumentieren, indem sie z. B. folgende Regeln verwenden:

  • Alle Gruppenadministratoraktivitäten auf Servern mit Finanzinformationen nachverfolgen.

  • Alle Dateien nachverfolgen, auf die durch definierte Mitarbeitergruppen zugegriffen wird.

  • Überprüfen, ob beim Zugriff auf Dateien, Ordner und Registrierungsschlüssel die richtige SACL angewendet wird.

Für wen ist dieses Feature von Interesse?

Die Überwachungserweiterungen in Windows Server 2008 R2 und Windows 7 unterstützen die Anforderungen von IT-Professionals, die für das Implementieren, Warten und Überwachen der ständigen Sicherheit der physischen Assets und Informationsassets einer Organisation zuständig sind.

Mithilfe dieser Einstellungen können Administratoren beispielsweise die folgenden Fragen beantworten:

  • Wer greift auf die Assets zu?

  • Auf welche Assets wird zugegriffen?

  • Wann und wo wurde auf die Assets zugegriffen?

  • Auf welche Weise haben die Benutzer den Zugriff erhalten?

Das Sicherheitsbewusstsein und der Wunsch nach einer forensischen Spur sind wichtige motivierende Faktoren hinter diesen Fragen. Die Qualität dieser Informationen wird von Prüfern in immer mehr Organisationen vorausgesetzt und ausgewertet.

Gibt es spezielle Überlegungen?

Bei den verschiedenen Aufgaben im Zusammenhang mit den Überwachungserweiterungen in Windows Server 2008 R2 und Windows 7 ist eine Reihe spezieller Überlegungen zu berücksichtigen:

  • Erstellen einer Überwachungsrichtlinie. Zum Erstellen einer erweiterten Windows-Sicherheitsüberwachungsrichtlinie müssen Sie die Gruppenrichtlinien-Verwaltungskonsole oder das Snap-In Lokale Richtlinien auf einem Computer unter Windows Server 2008 R2 oder Windows 7 verwenden. (Sie können die Gruppenrichtlinien-Verwaltungskonsole auf einem Computer unter Windows 7 verwenden, wenn Sie vorher die Remoteserver-Verwaltungstools installieren.)

  • Anwenden von Überwachungsrichtlinieneinstellungen. Wenn Sie Gruppenrichtlinie verwenden, um die erweiterten Einstellungen für Überwachungsrichtlinien und den globalen Objektzugriff anzuwenden, muss auf den Clientcomputern Windows Server 2008 R2 oder Windows 7 ausgeführt werden. Außerdem können nur auf Computern unter Windows Server 2008 R2 oder Windows 7 Berichtsdaten über Zugriffsgründe bereitgestellt werden.

  • Entwickeln eines Überwachungsrichtlinienmodells. Zum Planen erweiterter Einstellungen für die Sicherheitsüberwachung und den globalen Objektzugriff müssen Sie die Gruppenrichtlinien-Verwaltungskonsole und als Ziel einen Domänencontroller unter Windows Server 2008 R2 verwenden.

  • Verteilen der Überwachungsrichtlinie. Wenn Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit erweiterten Sicherheitsüberwachungseinstellungen entwickelt haben, kann dieses mithilfe von Domänencontrollern unter einem beliebigen Windows-Serverbetriebssystem verteilt werden. Wenn Sie jedoch Clientcomputer unter Windows 7 nicht in einer separaten Organisationseinheit platzieren können, sollten Sie mithilfe von WMI-Filterung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) sicherstellen, dass die erweiterten Richtlinieneinstellungen nur auf Clientcomputer unter Windows 7 angewendet werden.

noteHinweis
Erweiterte Überwachungsrichtlinieneinstellungen können auch auf Clientcomputer unter Windows Vista angewendet werden. Die Überwachungsrichtlinien für diese Clientcomputer müssen jedoch separat mithilfe von Auditpol.exe-Anmeldeskripts erstellt werden.

ImportantWichtig
Wenn Sie sowohl die grundlegenden Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien\Überwachungsrichtlinie als auch die erweiterten Einstellungen unter Erweiterte Überwachungsrichtlinienkonfiguration verwenden, kann dies zu unerwarteten Ergebnissen führen. Daher sollten die beiden Sätze mit Überwachungsrichtlinieneinstellungen nicht kombiniert werden. Wenn Sie die Einstellungen unter Erweiterte Überwachungsrichtlinienkonfiguration verwenden, sollten Sie die Richtlinieneinstellung Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen unter Lokale Richtlinien\Sicherheitsoptionen verwenden. Dadurch werden Konflikte zwischen ähnlichen Einstellungen verhindert, indem die grundlegende Sicherheitsüberwachung ignoriert wird. 

Darüber hinaus müssen Administratoren beim Planen und Bereitstellen von Überwachungsrichtlinien für Sicherheitsereignisse eine Reihe betrieblicher und strategischer Fragen berücksichtigen. Dazu gehören:

  • Wieso wird eine Überwachungsrichtlinie benötigt?

  • Welche Aktivitäten und Ereignisse sind für die Organisation am wichtigsten?

  • Welche Überwachungsereignistypen müssen in der Überwachungsstrategie nicht enthalten sein?

  • Wie viel Administratorzeit und wie viele Netzwerkressourcen sollen dem Generieren, Sammeln und Speichern von Ereignissen sowie dem Analysieren der Daten gewidmet werden?

In welchen Editionen ist dieses Feature enthalten?

Alle Versionen von Windows Server 2008 R2 und Windows 7, in denen Gruppenrichtlinien verarbeitet werden können, können für die Verwendung dieser Sicherheitsüberwachungserweiterungen konfiguriert werden. In Versionen von Windows Server 2008 R2 und Windows 7, in denen der Beitritt zu einer Domäne nicht möglich ist, kann auf diese Features nicht zugegriffen werden. Es gibt hinsichtlich der Unterstützung für die Sicherheitsüberwachung keinen Unterschied zwischen den 32-Bit- und 64-Bit-Versionen von Windows 7.

Welche neuen Funktionen bietet dieses Feature?

Die folgenden neuen Funktionen werden von Windows Server 2008 R2 und Windows 7 bereitgestellt: Globale Objektzugriffsüberwachung, Einstellungen für Zugriffsgründe und erweiterte Überwachungsrichtlinieneinstellungen.

Globale Objektzugriffsüberwachung

Mit der globalen Objektzugriffsüberwachung können Administratoren Computer-SACLs für das Dateisystem oder die Registrierung nach Objekttyp definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt des jeweiligen Typs angewendet.

Prüfer können beweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt wird, indem sie einfach den Inhalt der Richtlinieneinstellung für die globale Objektzugriffsüberwachung anzeigen. Beispielsweise reicht die Richtlinieneinstellung Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen aus, um zu zeigen, dass die Richtlinie wirksam ist.

Ressourcen-SACLs sind auch in Diagnoseszenarien hilfreich. Wenn Administratoren beispielsweise eine Richtlinie für die globale Objektzugriffsüberwachung festlegen, um alle Aktivitäten eines bestimmten Benutzers zu protokollieren, und die Überwachungsrichtlinien für Zugriffsfehler in einer Ressource (Dateisystem, Registrierung) aktivieren, können sie schnell identifizieren, auf welches Objekt in einem System einem Benutzer der Zugriff verweigert wird.

noteHinweis
Wenn sowohl eine Datei- oder Ordner-SACL und eine Richtlinie für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellungs-SACL und eine Richtlinie für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert ist, wird die wirksame SACL abgeleitet durch Kombinieren der Datei- oder Ordner-SACL und der Richtlinie für die globale Objektzugriffsüberwachung. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei- oder Ordner-SACL oder der Richtlinie für die globale Objektzugriffsüberwachung übereinstimmt.

Einstellungen für Zugriffsgründe

Es gibt verschiedene Ereignisse in Windows, mit denen überwacht werden kann, ob ein Vorgang erfolgreich war. Diese Ereignisse enthalten normalerweise den Benutzer, das Objekt und den Vorgang. Aus welchem Grund der Vorgang zugelassen oder verweigert wurde, wird jedoch nicht angegeben. Die forensischen Analysen und Unterstützungsszenarien wurden in Windows Server 2008 R2 und Windows 7 dahingehend verbessert, dass basierend auf bestimmten Berechtigungen der Grund protokolliert wird, aus dem ein Benutzer auf Unternehmensressourcen zugreifen konnte.

Erweiterte Überwachungsrichtlinieneinstellungen

In Windows Server 2008 R2 und Windows 7 können erweiterte Überwachungsrichtlinien mithilfe von Domänengruppenrichtlinien konfiguriert und bereitgestellt werden. Dadurch werden die Kosten und der Aufwand für die Verwaltung reduziert, und die Flexibilität und Effektivität der Sicherheitsüberwachung wird erheblich verbessert.

In den folgenden Abschnitten werden die neuen Ereignisse und Ereigniskategorien beschrieben, die im Knoten Erweiterte Überwachungsrichtlinienkonfiguration von Gruppenrichtlinie verfügbar sind.

Anmeldeversuche

Mithilfe der Ereignisse in dieser Kategorie können Versuche zum Authentifizieren von Kontodaten in Domänen dokumentiert werden, entweder gegenüber einem Domänencontroller oder einem lokalen Sicherheitskonto-Manager (Security Accounts Manager, SAM). Im Gegensatz zu Anmelde- und Abmeldeereignissen, bei denen Zugriffsversuche auf einen bestimmten Computer nachverfolgt werden, wird bei den Ereignissen in dieser Kategorie die verwendete Kontodatenbank gemeldet.

 

Einstellung Beschreibung

Überprüfung der Anmeldeinformationen

Überwacht Ereignisse, die durch Überprüfungstests für Anmeldeinformationen für Benutzerkonten generiert werden.

Ticketvorgänge des Kerberos-Diensts

Überwacht Ereignisse, die durch Ticketanforderungen des Kerberos-Diensts generiert werden.

Andere Kontoanmeldungsereignisse

Überwacht Ereignisse, die durch Antworten auf Anmeldeinformationsanforderungen generiert werden. Dabei handelt es sich um Anforderungen, die für eine Benutzerkontoanmeldung gesendet wurden und keine Überprüfung der Anmeldeinformationen oder Kerberos-Tickets darstellen.           

Kerberos-Authentifizierungsdienst

Überwacht Ereignisse, die durch TGT-Anforderungen (Ticket-Granting Ticket) für die Kerberos-Authentifizierung generiert wurden.

Kontoverwaltungsereignisse

Mithilfe der Einstellungen in dieser Kategorie können Sie Änderungen an Benutzer- und Computerkonten sowie Benutzer- und Computergruppen überwachen.

 

Einstellung Beschreibung

Benutzerkontenverwaltung

Überwacht Änderungen an Benutzerkonten.

Computerkontoverwaltung

Überwacht Ereignisse, die durch Änderungen an Computerkonten generiert werden, beispielsweise beim Erstellen, Ändern oder Löschen eines Computerkontos.

Sicherheitsgruppenverwaltung

Überwacht Ereignisse, die durch Änderungen an Sicherheitsgruppen generiert werden.

Verteilergruppenverwaltung

Überwacht Ereignisse, die durch Änderungen an Verteilergruppen generiert werden.

noteHinweis
Ereignisse in dieser Unterkategorie werden nur auf Domänencontrollern protokolliert.

Anwendungsgruppenverwaltung

Überwacht Ereignisse, die durch Änderungen an Anwendungsgruppen generiert werden.

Andere Kontoverwaltungsereignisse

Überwacht Ereignisse, die durch andere Änderungen an Benutzerkonten generiert werden, die in dieser Kategorie nicht enthalten sind.

Detaillierte Nachverfolgungsereignisse

Detaillierte Nachverfolgungsereignisse können zum Überwachen der Aktivitäten einzelner Anwendungen verwendet werden und enthalten Informationen dazu, wie ein Computer verwendet wird und welche Aktivitäten die Benutzer auf diesem Computer ausführen.

 

Einstellung Beschreibung

Prozesserstellung

Überwacht Ereignisse, die generiert werden, wenn ein Prozess erstellt oder gestartet wird. Der Name der Anwendung oder des Benutzers, die bzw. der den Prozess erstellt hat, wird ebenfalls überwacht.

Prozessbeendigung

Überwacht Ereignisse, die generiert werden, wenn ein Prozess beendet wird.

DPAPI-Aktivität

Überwacht Ereignisse, die generiert werden, wenn Verschlüsselungs- oder Entschlüsselungsanforderungen an die DPAPI (Data Protection Application Interface) gestellt werden. Die DPAPI wird verwendet, um geheime Informationen (beispielsweise gespeicherte Kennwort- und Schlüsselinformationen) zu schützen. Weitere Informationen zur DPAPI finden Sie unter Windows-Datenschutz (möglicherweise in englischer Sprache).

RPC-Ereignisse

Überwacht eingehende RPC-Verbindungen (Remote Procedure Call, Remoteprozeduraufruf).

DS-Zugriffsereignisse

DS-Zugriffsereignisse stellen eine Low-Level-Überwachungsliste dar, die Versuche zum Zugreifen auf Objekte und zum Ändern von Objekten in den Active Directory®-Domänendiensten (Active Directory® Domain Services, AD DS) enthält. Diese Ereignisse werden nur auf Domänencontrollern protokolliert.

 

Einstellung Beschreibung

Verzeichnisdienstzugriff

Überwacht Ereignisse, die generiert werden, wenn auf ein AD DS-Objekt zugegriffen wird.

Nur AD DS-Objekte mit übereinstimmender SACL werden protokolliert.

Die Ereignisse in dieser Unterkategorie sind vergleichbar mit den Verzeichnisdienst-Zugriffsereignissen, die in vorherigen Versionen von Windows verfügbar waren.

Verzeichnisdienständerungen

Überwacht Ereignisse, die durch Änderungen an AD DS-Objekten generiert werden. Ereignisse werden protokolliert, wenn ein Objekt erstellt, gelöscht, geändert, verschoben oder wiederhergestellt wird.                                

Verzeichnisdienstreplikation

Überwacht die Replikation zwischen zwei AD DS-Domänencontrollern.

Detaillierte Verzeichnisdienstreplikation

Überwacht Ereignisse, die durch die detaillierte AD DS-Replikation zwischen Domänencontrollern generiert werden.

Anmelde-/Abmeldeereignisse

Mithilfe von Anmelde- und Abmeldeereignissen können Sie interaktive Anmeldeversuche oder über ein Netzwerk ausgeführte Anmeldeversuche bei einem Computer nachverfolgen. Diese Ereignisse sind besonders hilfreich beim Nachverfolgen von Benutzeraktivitäten und beim Identifizieren potenzieller Angriffe auf Netzwerkressourcen.

 

Einstellung Beschreibung

Anmeldung

Überwacht Ereignisse, die durch Anmeldeversuche unter Benutzerkonten auf einem Computer generiert werden.

Abmeldung

Überwacht Ereignisse, die durch das Schließen einer Anmeldesitzung generiert werden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wurde. Bei einer interaktiven Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Anmeldung unter dem Benutzerkonto ausgeführt wurde.

Kontosperrung

Überwacht Ereignisse, die generiert werden, wenn bei der Anmeldung unter einem gesperrten Konto Fehler auftreten.

IPsec-Hauptmodus

Überwacht Ereignisse, die vom IKE-Protokoll (Internet Key Exchange, Internetschlüsselaustausch) und vom authentifizierten Internetprotokoll (Authenticated Internet Protocol, AuthIP) während Aushandlungen im Hauptmodus generiert werden.

IPsec-Schnellmodus

Überwacht Ereignisse, die vom IKE-Protokoll (Internet Key Exchange, Internetschlüsselaustausch) und vom authentifizierten Internetprotokoll (Authenticated Internet Protocol, AuthIP) während Aushandlungen im Schnellmodus generiert werden.

IPsec-Erweiterungsmodus

Überwacht Ereignisse, die vom IKE-Protokoll (Internet Key Exchange, Internetschlüsselaustausch) und vom authentifizierten Internetprotokoll (Authenticated Internet Protocol, AuthIP) während Aushandlungen im Erweiterungsmodus generiert werden.

Spezielle Anmeldung

Überwacht Ereignisse, die durch spezielle Anmeldungen generiert werden.

Andere Anmelde-/Abmeldeereignisse

Überwacht andere Ereignisse im Zusammenhang mit der An- und Abmeldung, die nicht in der Kategorie Anmeldung bzw. Abmeldung enthalten sind.

Netzwerkrichtlinienserver

Überwacht Ereignisse, die durch RADIUS (IAS)- und NAP-Zugriffsanforderungen (Network Access Protection, Netzwerkzugriffsschutz) von Benutzern generiert werden. Diese Anforderungen können Gewähren, Verweigern, Verwerfen, QuarantäneSperren und Entsperren lauten.

Objektzugriffsereignisse

Mithilfe von Objektzugriffsereignissen können Sie Zugriffsversuche auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder auf einem Computer nachverfolgen. Zum Überwachen von Dateien, Verzeichnissen, Registrierungsschlüsseln oder anderen Objekten müssen Sie die Kategorie Objektzugriff für Erfolgs- und Fehlerereignisse aktivieren. Beispielsweise muss zum Überwachen von Dateivorgängen die Unterkategorie Dateiystem und zum Überwachen des Registrierungszugriffs die Unterkategorie Registrierung aktiviert werden.

Gegenüber einem Prüfer ist die Wirksamkeit dieser Richtlinie schwer nachzuweisen. Es gibt keine einfache Methode, mit der Sie überprüfen können, dass für alle geerbten Objekte die richtigen SACLs festgelegt sind.

 

Einstellung Beschreibung

Dateisystem

Überwacht Zugriffsversuche von Benutzern auf Dateisystemobjekte. Ein Sicherheitsüberwachungsereignis wird nur für Objekte mit SACLs generiert und nur dann, wenn der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, über das die Anforderung gestellt wird, mit den Einstellungen in der SACL übereinstimmen.

Registrierung

Überwacht Zugriffsversuche auf Registrierungsobjekte. Ein Sicherheitsüberwachungsereignis wird nur für Objekte mit SACLs generiert und nur dann, wenn der angeforderte Zugriffstyp (beispielsweise Lesen, Schreiben oder Ändern) und das Konto, über das die Anforderung gestellt wird, mit den Einstellungen in der SACL übereinstimmen.

Kernelobjekt

Überwacht Zugriffsversuche auf den Systemkernel, einschließlich der Mutexe und Semaphoren. Sicherheitsüberwachungsereignisse werden nur durch Kernelobjekte mit übereinstimmender SACL generiert.

noteHinweis
Mit der Richtlinieneinstellung Überwachung: Zugriff auf globale Systemobjekte prüfen wird die Standard-SACL von Kernelobjekten gesteuert.

SAM:

Überwacht Ereignisse, die durch Zugriffsversuche auf SAM-Objekte (Security Accounts Manager, Sicherheitskonto-Manager) generiert werden.

Zertifizierungsdienste

Überwacht Vorgänge der Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS).

Anwendung wurde generiert

Überwacht Anwendungen, durch die Ereignisse mithilfe der Windows-Überwachungs-APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) generiert werden. Anwendungen, die für die Verwendung der Windows-Überwachungs-API entwickelt wurden, verwenden diese Unterkategorie zum Protokollieren von Überwachungsereignissen im Zusammenhang mit der Funktion der Anwendungen.

Handleänderung

Überwacht Ereignisse, die generiert werden, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird. Sicherheitsüberwachungsereignisse werden nur durch Objekte mit übereinstimmender SACL generiert.

Dateifreigabe

Überwacht Zugriffsversuche auf einen freigegebenen Ordner. Beim Erstellen oder Löschen eines Ordners oder beim Ändern der Freigabeberechtigungen für den Ordner werden jedoch keine Sicherheitsüberwachungsereignisse generiert.

Detaillierte Dateifreigabe

Überwacht Zugriffsversuche auf Dateien und Ordner in einem freigegebenen Ordner. Mit der Einstellung Detaillierte Dateifreigabe wird immer dann ein Ereignis protokolliert, wenn auf eine Datei oder einen Ordner zugegriffen wird. Mit der Einstellung Dateifreigabe dagegen wird nur ein einziges Ereignis für eine zwischen einem Client und einer Dateifreigabe hergestellte Verbindung aufgezeichnet. Die Überwachungsereignisse unter Detaillierte Dateifreigabe enthalten detaillierte Informationen zu den Berechtigungen oder anderen Kriterien, die zum Gewähren oder Verweigern des Zugriffs verwendet werden.

Filterplattform: Verworfene Pakete

Überwacht Pakete, die von der Windows-Filterplattform (Windows Filtering Platform, WFP) verworfen werden.

Filterplattformverbindung

Überwacht Verbindungen, die durch die Windows-Filterplattform zugelassen oder blockiert werden.

Andere Objektzugriffsereignisse

Überwacht Ereignisse, die durch die Verwaltung von Aufgabenplanungsaufträgen oder COM+-Objekten generiert werden.

Richtlinienänderungsereignisse

Mithilfe von Richtlinienänderungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, können alle Änderungen oder Änderungsversuche an diesen Richtlinien einen wichtigen Aspekt der Sicherheitsverwaltung eines Netzwerks darstellen.

 

Einstellung Beschreibung

Richtlinienänderungen überwachen

Überwacht Änderungen in den Einstellungen von Sicherheitsüberwachungsrichtlinien.

Authentifizierungsrichtlinienänderung

Überwacht Ereignisse, die durch Änderungen an der Authentifizierungsrichtlinie generiert werden.

Autorisierungsrichtlinienänderung

Überwacht Ereignisse, die durch Änderungen an der Autorisierungsrichtlinie generiert werden.

MPSSVC-Richtlinienänderung auf Regelebene

Überwacht Ereignisse, die durch Änderungen in von der Windows-Firewall verwendeten Richtlinienregeln generiert werden.

Filterplattform-Richtlinienänderung

Überwacht Ereignisse, die durch Änderungen an der Windows-Filterplattform generiert werden.

Andere Richtlinienänderungsereignisse

Überwacht Ereignisse, die durch andere Änderungen an Sicherheitsrichtlinien generiert werden, die in der Kategorie Richtlinienänderung nicht überwacht werden.                                                       

Rechteverwendungsereignisse

Rechte in einem Netzwerk werden Benutzern oder Computern erteilt, um definierte Aufgaben auszuführen. Mithilfe von Rechteverwendungsereignissen können Sie die Verwendung bestimmter Rechte auf einem oder mehreren Computern nachverfolgen.

 

Einstellung Beschreibung

Sensible Verwendung von Rechten

Überwacht Ereignisse, die durch die Verwendung sensibler Rechte (Benutzerrechte) generiert werden, beispielsweise Agieren als Teil des Betriebssystems, Sichern von Dateien und Verzeichnissen, Übernehmen der Identität eines Clientcomputers oder Generieren von Sicherheitsüberwachungen.

Nicht sensible Verwendung von Rechten

Überwacht Ereignisse, die durch die Verwendung nicht sensibler Rechte (Benutzerrechte) generiert werden, beispielsweise lokales Anmelden oder Anmelden über eine Remotedesktopverbindung, Ändern der Systemzeit oder Entfernen eines Computers aus einer Dockingstation.

Andere Rechteverwendungsereignisse

Nicht verwendet.

Systemereignisse

Mithilfe von Systemereignissen können Sie Änderungen auf hoher Ebene an einem Computer nachverfolgen, die nicht in anderen Kategorien enthalten sind und potenzielle Auswirkungen auf die Sicherheit haben.

 

Einstellung Beschreibung

Sicherheitsstatusänderung

Überwacht Ereignisse, die durch Änderungen am Sicherheitsstatus des Computers generiert werden.

Sicherheitssystemerweiterung

Überwacht Ereignisse im Zusammenhang mit Sicherheitssystemerweiterungen oder Diensten.                                                                    

Systemintegrität

Überwacht Ereignisse, durch die die Integrität des Sicherheitssubsystems verletzt wird.

IPsec-Treiber

Überwacht Ereignisse, die durch den IPsec-Filtertreiber generiert werden.

Andere Systemereignisse

Überwacht die folgenden Ereignisse:

  • Starten und Herunterfahren der Windows-Firewall.

  • Sicherheitsrichtlinienverarbeitung durch die Windows-Firewall.

  • Datei- und Migrationsvorgänge für Kryptografieschlüssel.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft