Neuigkeiten bei der Sicherheitsüberwachung
Die Sicherheitsüberwachung ist eines der leistungsstärksten Tools für den Erhalt der Systemintegrität. Im Rahmen Ihrer Gesamtsicherheitsstrategie sollten Sie feststellen, welche Überwachungsebene für Ihre Umgebung geeignet ist. Die Überwachung sollte (erfolgreiche oder nicht erfolgreiche) Angriffe identifizieren, die eine Gefahr für das Netzwerk bedeuten, oder gegen Ressourcen gerichtet sind, die im Rahmen der Risikobewertung als wertvoll eingestuft wurden.
Neue Features in Windows 10, Version 1511
- Die Konfigurationsdienstanbieter WindowsSecurityAuditing und Reporting ermöglichen Ihnen, Sicherheitsüberwachungsrichtlinien für Mobilgeräte hinzuzufügen.
Neue Features in Windows 10
In Windows 10 wurde die Sicherheitsüberwachung verbessert:
- Neue Überwachungsunterkategorien
- Mehr Informationen zu vorhandenen Überwachungsereignissen
Neue Überwachungsunterkategorien
In Windows 10 wurden zwei neue Überwachungsunterkategorien zur erweiterten Überwachungsrichtlinienkonfiguration hinzugefügt, um eine höhere Granularität in Überwachungsereignissen bereitzustellen:
Gruppenmitgliedschaft überwachen Die Unterkategorie „Gruppenmitgliedschaft überwachen“ in der Überwachungskategorie „Anmelden/Abmelden“ ermöglicht Ihnen die Überwachung der Gruppenmitgliedschaftsinformationen im Anmeldetoken eines Benutzers. Ereignisse in dieser Unterkategorie werden generiert, wenn Gruppenmitgliedschaften auf dem PC, auf dem die Anmeldesitzung erstellt wurde, aufgelistet oder abgefragt werden. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem PC generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, zum Beispiel beim Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem PC generiert, der als Host für die Ressource fungiert.
Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Außerdem müssen Sie die Einstellung Anmelden überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmelden/Abmelden aktivieren. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert.
PNP-Aktivität überwachen Die Unterkategorie „PNP-Aktivität überwachen“ in der Kategorie „Detaillierte Überwachung“ ermöglicht Ihnen die Überwachung, wenn Plug & Play ein externes Gerät erkennt.
Für diese Kategorie werden nur Erfolgsüberwachungen aufgezeichnet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein externes Gerät durch Plug & Play erkannt wird.
Ein PNP-Überwachungsereignis kann zum Nachverfolgen von Änderungen der Systemhardware verwendet werden und wird auf dem PC, auf dem die Änderungen stattgefunden haben, protokolliert. Eine Liste der Hardwareanbieter-IDs sind im Ereignis enthalten.
Mehr Informationen zu vorhandenen Überwachungsereignissen
Mit Windows 10 haben wir weitere Informationen zu vorhandenen Überwachungsereignissen hinzugefügt, um es Ihnen zu vereinfachen, eine vollständige Überwachungsliste zusammenzustellen und die Informationen zu erhalten, die Sie zum Schutz Ihres Unternehmens zu benötigen. Verbesserungen wurden an folgenden Überwachungsereignissen vorgenommen:
Standardmäßige Kernel-Überwachungsrichtlinie geändert
Standardvorgang SACL zu „LSASS.exe“ hinzugefügt
Neue Felder im Anmeldeereignis hinzugefügt
Neue Felder im Prozesserstellungsereignis hinzugefügt
Neue Security Sicherheitskontenverwaltungs-Ereignisse hinzugefügt
Neue BCD-Ereignisse hinzugefügt
Neue PNP-Ereignisse hinzugefügt
Standardmäßige Kernel-Überwachungsrichtlinie geändert
In früheren Versionen hing der Kernel von der LSA (Local Security Authority) ab, um Informationen in einigen der Ereignisse abzurufen. In Windows 10 wird die Überwachungsrichtlinie für Prozesserstellungsereignisse automatisch aktiviert, bis eine tatsächliche Überwachungsrichtlinie von der LSA empfangen wird. Dies führt zur einer besseren Überwachung der Dienste, die möglicherweise vor dem Start von LSA gestartet werden.
Standardvorgang SACL zu „LSASS.exe“ hinzugefügt
In Windows 10 wurde eine SACL für Standardvorgänge zu „LSASS.exe“ hinzugefügt, um Prozesse zu protokollieren, die versuchen, auf „LSASS.exe“ zuzugreifen. Die SACL ist L"S:(AU;SAFA;0x0010;;;WD)". Sie können diese Option unter Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff\Kernelobjekt überwachen aktivieren.
Auf diese Weise können Sie Angriffe identifizieren, die Anmeldeinformationen aus dem Arbeitsspeicher eines Prozesses stehlen.
Neue Felder im Anmeldeereignis
Die Anmeldeereignis-ID 4624 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen. Die folgenden Felder wurden dem Ereignis 4624 hinzugefügt:
MachineLogon Zeichenfolge: „yes“ oder „no“
Wenn das Konto, dass sich am PC angemeldet hat, ein Computerkonto ist, hat dieses Feld den Wert „yes“. Andernfalls hat das Feld den Wert „no“.
ElevatedToken Zeichenfolge: „yes“ oder „no“
Wenn das Konto, das sich am PC angemeldet hat, ein Administratorkonto ist, hat dieses Feld den Wert „yes“. Andernfalls hat das Feld den Wert „no“. Falls dies ein Teil eines geteilten Tokens ist, wird außerdem die verknüpfte Anmelde-ID (LSAP_LOGON_SESSION) angezeigt.
TargetOutboundUserName Zeichenfolge
TargetOutboundUserDomain Zeichenfolge
Der Benutzername und die Domäne der Identität, die von der „LogonUser“-Methode für ausgehenden Datenverkehr erstellt wurde.
VirtualAccount Zeichenfolge: „yes“ oder „no“
Wenn das Konto, dass sich am PC angemeldet hat, ein virtuelles Konto ist, hat dieses Feld den Wert „yes“. Andernfalls hat das Feld den Wert „no“.
GroupMembership Zeichenfolge
Eine Liste mit allen Gruppen im Token des Benutzers.
RestrictedAdminMode Zeichenfolge: „yes“ oder „no“
Wenn sich der Benutzer mit Remotedesktop im eingeschränkten Administratormodus am PC anmeldet, hat dieses Feld den Wert „yes“.
Weitere Informationen zum eingeschränkten Administratormodus finden Sie unter Eingeschränkter Administratormodus für RDP.
Neue Felder im Prozesserstellungsereignis
Die Anmeldeereignis-ID 4688 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen. Die folgenden Felder wurden dem Ereignis 4688 hinzugefügt:
TargetUserSid Zeichenfolge
Die SID des Zielprinzipals.
TargetUserName Zeichenfolge
Der Kontoname des Zielbenutzers.
TargetDomainName Zeichenfolge
Die Domäne des Zielbenutzers.
TargetLogonId Zeichenfolge
Die Anmelde-ID des Zielbenutzers.
ParentProcessName Zeichenfolge
Der Name des Erstellerprozesses.
ParentProcessId Zeichenfolge
Ein Zeiger auf den tatsächlichen übergeordneten Prozess, falls er sich vom Erstellerprozess unterscheidet.
Neue Sicherheitskontenverwaltungs-Ereignisse
In Windows 10 wurden neue SAM-Ereignisse für SAM-APIs hinzugefügt, die Lese-/Abfragevorgänge ausführen. In früheren Versionen von Windows wurden nur Schreibvorgänge überwacht. Die neuen Ereignisse haben die Ereignis-IDs 4798 und 4799. Die folgenden APIs werden jetzt überwacht:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Neue BCD-Ereignisse
Ereignis-ID 4826 wurde hinzugefügt, um die folgenden Änderungen an der Startkonfigurationsdatenbank (Boot Configuration Datenbank, BCD) nachzuverfolgen:
- DEP-/NEX-Einstellungen
- Testsignierung
- PCAT-SB-Simulation
- Debugging
- Startdebugging
- Integritätsdienste
- Deaktivieren des Winload-Debuggingmenüs
Neue PNP-Ereignisse
Ereignis-ID 6416 wurde hinzugefügt, um nachzuverfolgen, wann ein externes Gerät über Plug & Play erkannt wird. Ein wichtiges Szenario entsteht, wenn ein externes Gerät, das Malware enthält, in einen hochwertigen Computer eingefügt wird, der diese Art von Aktion nicht erwartet, z. B. ein Domänencontroller.