Sicherheitsüberprüfung: Übersicht

Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In dieser technischen Übersicht für IT-Experten beschreibt die Sicherheit Überwachungsfunktionen in Windows und wie Ihr Unternehmen von diesen Technologien zum Verbessern der Sicherheit und Verwaltung Ihres Netzwerks unterstützen kann.

Meinten Sie…

Security Policy Settings Reference

Ereignisanzeige

Featurebeschreibung

Sicherheitsüberwachung ist ein leistungsfähiges Tool zur Erhaltung die Sicherheit eines Unternehmens. Die Überwachung kann für verschiedene Zwecke, einschließlich forensische Analyse, Einhaltung, Überwachen der Benutzeraktivität und Problembehandlung verwendet werden. Branchenrichtlinien in verschiedenen Ländern oder Regionen müssen Unternehmen strenge Regeln zur Sicherheit und Datenschutz zu implementieren. Sicherheits-Audits können Implementieren solcher Richtlinien und beweisen, dass diese Richtlinien implementiert wurden. Darüber hinaus kann die sicherheitsüberwachung zur forensischen Analyse verwendet werden, anhand derer Administratoren Ermitteln von abweichendem Verhalten, identifizieren und Beheben von Lücken in Sicherheitsrichtlinien und unverantwortlichem Verhalten abzuschrecken, indem wichtige Benutzeraktivitäten nachverfolgen.

Praktische Anwendung

Sie können Windows-Sicherheit und Systemprotokolle ein Überwachungssystem aufzuzeichnende Ereignisse erstellen und Store Netzwerkaktivitäten, die potenziell schädliche Verhalten, und um diese Risiken zu mindern zugeordnet sind. Sie können die Überwachung, wie z. B. anhand von Kategorien von Sicherheitsereignissen aktivieren:

• Benutzerberechtigungen Konten- und Ressourcenmigration ändert.

• Fehlgeschlagene Anmeldeversuche von Benutzern.

• Fehlgeschlagener Versuche, auf Ressourcen zuzugreifen.

• Änderungen an Systemdateien.

In Windows Server 2008 R2 und Windows 7 die Anzahl der Sicherheitsrichtlinien für die Überwachung von neun auf 53 erhöht wurde, und alle Überwachungsfunktionen in die Gruppenrichtlinie integriert wurden. Dadurch können Administratoren konfigurieren, bereitstellen und verwalten eine Vielzahl von Einstellungen in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die lokale Sicherheitsrichtlinie-Snap-in für eine Domäne, Site oder Organisationseinheit (OU). Dies erleichtert es für IT-Experten zu überwachen, wann genau definierte, wichtige Aktivitäten im Netzwerk stattfinden. Weitere Informationen finden Sie unter Erweiterte Überwachungsrichtlinieneinstellungen für Sicherheit.

Neue und geänderte Funktionalität

Es gibt keine neuen Änderungen an der Funktionalität der sicherheitsüberwachung inWindows Server 2012 R2.

InWindows Server 2012Änderungen an der Überwachung für folgende Zwecke eingeführt wurden:

• Reduzieren Sie die Menge der Überwachungen. Sie können Überwachungsrichtlinien für bestimmte Dateien und Benutzer auf Grundlage der Ressourcenattribute und Ansprüche für Benutzer und Geräte abzielen.

• Verbessern Sie die Verwaltung der Überwachungsrichtlinien. Die Einführung von globalen Objektzugriffs bietet ein effektives Mittel zum Erzwingen der Anwendung von Sicherheitsüberwachungsrichtlinien für Ressourcen. Kombinieren von globalen Objektzugriffs mit Ansprüchen und Dynamic Access Control ermöglicht dieser globalen Erzwingungsmechanismus und auf einen genauer definierten Satz von Aktivitäten, die potentiell von Interesse anwenden.

• Verbessern Sie die Möglichkeit, kritische Überwachungsdaten gesucht werden soll. Vorhandene datenzugriffsereignisse können zusätzliche Informationen in Bezug auf Benutzer-, Computer- und Ressource Ansprüche protokollieren. Dies erleichtert die Ereignissammlung und Analyse-Tools konfiguriert werden, um die relevantesten Daten schnell abzurufen.

• Aktivieren Sie die Überwachung von Wechselmedien. Die wachsende Beliebtheit von Wechselmedien macht ihre versuchte, verwenden Sie ein großes Sicherheitsrisiko dar, die überwacht werden soll.

Dynamische Claim-Überwachung, führt zu präzise und leichter zu verwaltenden Überwachungsrichtlinien. Dadurch werden Szenarien, die unmöglich oder zu schwierig konfiguriert wurden. Zusätzlich zu diesen Optimierungen gehören neue Überwachungsereignisse und Kategorien zum Nachverfolgen von Änderungen auf Richtlinienelemente Dynamic Access Control (DAC):

• Ressourcenattribute in Dateien

• Zentrale Zugriffsrichtlinien zugeordneten Dateien

• Benutzer- und Geräteansprüche

• Ressourcendefinitionen-Eigenschaft

• Zentrale Zugriffsrichtlinie und zentrale Regeldefinitionen

Im Folgenden finden Sie Beispiele für Überwachungsrichtlinien, die Administratoren erstellen können:

• Personen ohne einen "High" Sicherheitsfreigabe, der versucht, den Zugriff auf Dokumente klassifiziert als High Business Impact (HBI) – zum Beispiel Audit | Jeder | All-Access | Resource.Businessimpact = HBI und User.SecurityClearance!=High.

• Alle Lieferanten überwachen, wenn sie Zugriff auf Dokumente, die im Zusammenhang mit Projekten, an denen sie nicht arbeiten – zum Beispiel Audit | Jeder | All-Access | User.employmentstatus und User.Project Not_AnyOf Resource.Project.

Diese Richtlinien tragen dazu bei, das Volumen der Überwachungsereignisse zu regulieren und auf die relevantesten Daten oder Benutzer zu beschränken.

Um eine vollständige Ansicht der Ereignisse in der gesamten Organisation bereitzustellen, arbeitet Microsoft mit Partnern Ereignissammlung und Analyse-Tools, wie z. B. Microsoft System Center bereitgestellt.

Sicherheitsüberwachung verwalten

Um die sicherheitsüberwachung verwenden, müssen Sie zum Konfigurieren der Systemzugriffssteuerungsliste (SACL) für ein Objekt und der entsprechenden Sicherheitsüberwachungsrichtlinie für den Benutzer oder Computer anwenden. Weitere Informationen finden Sie unterVerwalten von Security Auditing.

Informationen zum Verwalten von Advanced Security Auditing finden Sie unterErweiterte Sicherheit, die Überwachung der exemplarischen Vorgehensweise.

Informationen zur Überwachung der dynamischen Zugriffssteuerung finden Sie unterÜberwachen der Dynamic Access Control-Objekte mit erweiterter Sicherheit Überwachungsoptionen.

Verwandte Ressourcen