Erweiterte Sicherheitsüberwachungs-Richtlinieneinstellungen

Veröffentlicht: August 2016

Gilt für: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Diese Referenz für IT-Spezialisten enthält Informationen über die erweiterte Überwachung Benutzerrichtlinien, die in Windows-Betriebssystemen verfügbar sind und die Überwachungsereignisse, die sie generieren.

Die überwachungsrichtlinieneinstellungen 53 Sicherheit unter Security sicherheitseinstellungen\erweiterte Überwachungsrichtlinienkonfiguration Ihre Organisation wichtige geschäftliche und sicherheitsbezogene Vorschriften überwachen genau definierte Aktivitäten wie z. B.:

• Ein Administrator einer Gruppe wurde geändert, Einstellungen oder Daten auf Servern, die Finanzinformationen enthalten.

• Ein Mitarbeiter innerhalb einer definierten Gruppe hat eine wichtige Datei zugegriffen.

• Die richtige Systemzugriffssteuerungsliste (SACL) wird auf alle Dateien und Ordner oder Registrierungsschlüssel Schlüssel auf einem Computer oder einer Dateifreigabe als überprüfbare Sicherung gegen unbemerkten Zugriff angewendet.

Sie können diese überwachungsrichtlinieneinstellungen über die lokale Sicherheitsrichtlinie Snap-in (secpol.msc) auf dem lokalen Computer oder mithilfe von Gruppenrichtlinien zugreifen.

Diese erweiterten überwachungsrichtlinieneinstellungen können Sie nur die Verhaltensweisen auswählen, die Sie überwachen möchten. Sie können Überwachungsergebnisse für Verhalten, die wenig oder keine Bedeutung oder Verhaltensweisen, die übermäßig viele Protokolleinträge erstellen ausschließen. Darüber hinaus da Sicherheitsüberwachungsrichtlinien mit Domänen-Gruppenrichtlinienobjekte angewendet werden können, können überwachungsrichtlinieneinstellungen werden geändert, getestet, und für ausgewählte Benutzer und Gruppen mit relativen Einfachheit bereitgestellt.

Beim Konfigurieren von Einstellungen für die erweiterte Sicherheit Sicherheitsüberwachungsrichtlinien Ereignisse werden angezeigt, auf Computern unter den unterstützten Versionen von Windows-Betriebssystems, wie festgelegt in den gilt für Liste am Anfang dieses Themas ist außerdem Windows Server 2008 und Windows Vista.

Überwachen von Richtlinien unter Security sicherheitseinstellungen\erweiterte Überwachungsrichtlinienkonfiguration stehen in den folgenden Kategorien:

• Kontoanmeldung

  Konfigurieren von Richtlinien in dieser Kategorie können Sie Dokument versucht, Daten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM)-Konto zu authentifizieren. Im Gegensatz zum an- und Abmeldung Richtlinien und Ereignisse, welcher Kurs versucht, auf einen bestimmten Computer zuzugreifen, konzentrieren Einstellungen und Ereignisse in dieser Kategorie auf die Datenbank, die verwendet wird. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überprüfung der Audit-Anmeldeinformationen

  • Überwachen von Kerberos-Authentifizierungsdienst

  • Kerberos-Ticket Dienstvorgänge überwachen

  • Andere Anmeldung/Abmeldung Überwachungsereignisse

• Kontenverwaltung

  Die Sicherheit Überwachungsrichtlinien, die Einstellungen in dieser Kategorie verwendet werden können, um Änderungen auf Benutzer und Computerkonten und-Gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Audit-Anwendungsgruppe Management

  • Kontenverwaltung für Computer

  • Audit-Verteilergruppe Management

  • Kontenverwaltung überwachen andere

  • Überwachung Sicherheitsgruppenverwaltung

  • Überwachen Sie die Verwaltung von Benutzerkonten

• Detaillierte Überwachung

  Ausführliche Überwachung Sicherheitsrichtlinien und Überwachungsereignisse können verwendet werden, um die Aktivitäten der einzelnen Anwendungen und Benutzer auf diesem Computer zu überwachen und zu verstehen, wie ein Computer verwendet wird. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überwachen Sie DPAPI

  • Erstellung von Audit

  • Audit-Prozess beenden

  • RPC-Ereignissen

• DS-Zugriff

  DSAccess-Sicherheitsrichtlinien Audit bieten einen detaillierten Audit-Trail von versuchen, Zugriff auf und Ändern von Objekten in Active Directory-Domänendienste (AD DS). Diese Ereignisse werden protokolliert, nur auf Domänencontrollern überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Detaillierte Verzeichnisdienstreplikation überwachen

  • Überwachen des Verzeichnisdienstzugriffs

  • Überwachen von Verzeichnisdienständerungen

  • Audit-Verzeichnisdienstreplikation

• Anmeldung/Abmeldung

  Sicherheitsrichtlinien für Anmeldung/Abmeldung und Überwachungsereignisse können Sie Anmeldeversuche auf einem Computer interaktiv oder über ein Netzwerk nachverfolgen. Diese Ereignisse sind besonders nützlich zum Nachverfolgen der Benutzeraktivität und identifizieren potenzielle Angriffe auf Netzwerkressourcen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Audit Konto gesperrt

  • Überwachung von IPsec Erweiterter Modus

  • Überwachung von IPSec-Hauptmodus

  • IPsec-Schnellmodus-Überwachungsmodus

  • Audit-Abmeldung

  • Überwachen der Anmeldung

  • Überwachung des Netzwerkrichtlinienservers

  • Andere Anmeldung/Abmeldung Überwachungsereignisse

  • Spezielle Audit-Anmeldung

• Zugriff auf Objekte

  Objektzugriffseinstellungen Richtlinie und Überwachungsereignisse können Sie zum Nachverfolgen von Zugriffsversuchen auf bestimmte Objekte oder Typen von Objekten auf einem Computer oder Netzwerk. Um Zugriffsversuche auf eine Datei, Verzeichnis, Registrierungsschlüssel oder ein anderes Objekt zu überwachen, müssen Sie die entsprechenden Objektzugriff Überwachungsunterkategorie erfolgreich und/oder fehlerhaft Ereignisse aktivieren. Z. B. die Unterkategorie Dateisystem überwachen Dateivorgänge aktiviert werden muss, und die Registrierung Unterkategorie Registrierungszugriffe überwachen aktiviert werden muss.

  Nachweisen, dass diese Richtlinien überwachen sind tatsächlich zu einem externen Wirtschaftsprüfer schwieriger wird. Es ist keine einfache Möglichkeit, sicherzustellen, dass die richtigen SACLs für alle geerbten Objekte festgelegt werden. Um dieses Problem zu beheben, finden Sie unter No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  Diese Kategorie umfasst die folgenden Unterkategorien:

  • Audit-Anwendung

  • Überwachen der Zertifikatdienste

  • Detaillierte Audit-Dateifreigabe

  • Audit-Dateifreigabe

  • Dateisystem überwachen

  • Überwachen von Filterung Plattform-Verbindung

  • Audit Filtern Plattform Paket löschen

  • Manipulation der Audit-Handle

  • Audit-Kernel-Objekt

  • Andere Objektzugriffsereignisse überwachen

  • Audit-Registrierung

  • Audit SAM

• Änderung der Richtlinie

  Richtlinie ändern Überwachungsereignisse können Sie Änderungen an wichtige Sicherheitsrichtlinien auf einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren zu sicheren Netzwerkressourcen eingerichtet sind, kann der Überwachung ändert oder versucht, diese Richtlinien ändern ein wichtiger Aspekt der Verwaltung der Sicherheit für ein Netzwerk aus. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überwachung der Richtlinienänderungsüberwachung

  • Authentifizierung Änderung der Überwachungsrichtlinien

  • Autorisierungsrichtlinienänderung

  • Filterung Plattform Änderung der Überwachungsrichtlinien

  • MPSSVC Regelebene Änderung der Überwachungsrichtlinien

  • Andere Überwachungsereignisse Richtlinie ändern

• Rechteverwendung

  Für Benutzer oder Computer definierten Aufgaben werden Berechtigungen für ein Netzwerk gewährt. Berechtigung mit Sicherheitsrichtlinien und Überwachungsereignisse können Sie die Verwendung von bestimmten Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Nicht sensible Rechteverwendung überwachen

  • Vertrauliche Rechteverwendung überwachen

  • Andere Rechteverwendung überwachen

• System

  System-Sicherheitsrichtlinien und Überwachungsereignisse können Sie Änderungen auf Systemebene auf einem Computer nachverfolgen, die nicht in anderen Kategorien enthalten sind und deren potenzielle Sicherheitsrisiken. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überwachen der IPSec-Treiber

  • Andere Systemereignisse

  • Audit-Sicherheitsstatus ändern

  • Die Erweiterung der Sicherheit System überwachen

  • Überwachen der Integrität des Systems

• Zugriff auf globale Objekte

  Globale Objektzugriffs-Richtlinieneinstellungen können Administratoren Computer Systemzugriff-Steuerungslisten (SACLs) pro Objekttyp für das Dateisystem oder die Registrierung zu definieren. Die angegebene SACL wird dann automatisch auf alle Objekte dieses Typs angewendet.

  Prüfer werden nachweisen können, dass alle Ressourcen im System durch eine Überwachungsrichtlinie geschützt ist, indem Sie den Inhalt des globalen Objektzugriffs-Richtlinien anzeigen. Wenn eine Einstellung namens "Alle von Gruppenadministratoren vorgenommene Änderungen nachverfolgen" Prüfer angezeigt wird, wissen sie z. B., dass diese Richtlinie aktiviert ist.

  Ressource SACLs sind auch nützlich für Diagnoseszenarios. Zum Beispiel können festlegen, die globale Objektzugriffsüberwachung Richtlinie protokolliert sämtliche Aktivitäten für einen bestimmten Benutzer und Aktivieren der Richtlinie "Zugriff verweigert" Ereignisse für das Dateisystem oder die Registrierung nachverfolgen Administratoren schnell zu identifizieren, welches Objekt in ein System einem Benutzer der Zugriff verweigert.

  Hinweis

  Wenn eine Datei oder Ordner-SACL und eine globale Objektzugriffs-Einstellung (oder eine einzelne registrierungseinstellungs-SACL und eine globale Objektzugriffs-Einstellung) auf einem Computer konfiguriert sind, wird die wirksame SACL kombinieren die Datei oder Ordner-SACL und die globale Objektzugriffsüberwachung Richtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität die Datei oder Ordner-SACL oder die globale Objektzugriffsüberwachung Richtlinie entspricht.

  Diese Kategorie umfasst die folgenden Unterkategorien:

  • File System (Globale Überwachung)

  • Registrierung (Globale Überwachung)