Häufig gestellte Fragen zur erweiterten Sicherheitsüberwachung
Dieses Thema für IT-Experten führt Fragen und Antworten zum Verständnis, zur Bereitstellung und zur Verwaltung von Sicherheitsüberwachungsrichtlinien auf.
Was ist die Windows-Sicherheitsüberwachung, und warum sollte ich sie verwenden?
Worin besteht der Unterschied zwischen Überwachungsrichtlinien in Lokale Richtlinien\Überwachungsrichtlinie und solchen in Erweiterte Überwachungsrichtlinienkonfiguration?
Wie interagieren grundlegende und erweiterte Überwachungsrichtlinieneinstellungen miteinander?
Wie werden Überwachungseinstellungen durch eine Gruppenrichtlinie zusammengeführt?
Was ist der Unterschied zwischen einer Objekt-DACL und einer Objekt-SACL?
Warum werden Überwachungsrichtlinien für einzelne Computer und nicht für einzelne Benutzer angewendet?
Worin bestehen die Unterschiede der Überwachungsfunktionen zwischen verschiedenen Versionen von Windows?
Kann ich erweiterte Überwachungsrichtlinien von einem Domänencontroller mit Windows Server 2003 oder Windows 2000 Server verwenden?
Was ist der Unterschied zwischen Erfolgs- und Fehlerereignissen? Liegt ein Problem vor, wenn ich ein fehlerhaftes Überwachungsereignis erhalte?
Wie kann ich eine Überwachungsrichtlinie einrichten, die für alle Objekte auf einem Computer gilt?
Wie finde ich heraus, warum jemand auf eine Ressource zugreifen konnte?
Woran erkenne ich, wenn Änderungen an Zugriffssteuerungseinstellungen vorgenommen wurden, wer dies getan hat, und worin diese Änderungen bestehen?
Wie kann ich Sicherheitsüberwachungsrichtlinien von den erweiterten auf die grundlegenden Überwachungsrichtlinien zurücksetzen?
Wie kann ich überwachen, ob Änderungen an Überwachungsrichtlinieneinstellungen vorgenommen wurden?
Wie kann ich die Anzahl der Ereignisse minimieren, die generiert werden?
Welche sind die besten Tools für die Modellierung und Verwaltung von Überwachungsrichtlinien?
Wo finde ich Informationen über alle möglichen Ereignisse, die ich erhalten kann?
Wo finde ich ausführlichere Informationen?
Was ist die Windows-Sicherheitsüberwachung, und warum sollte ich sie verwenden?
Die Sicherheitsüberwachung ist eine methodische Untersuchung und Prüfung von Aktivitäten, die sich auf die Sicherheit eines Systems auswirken könnten. In den Windows-Betriebssystemen ist die Sicherheitsüberwachung noch enger definiert, und zwar als die Features und Dienste, die einem Administrator ermöglichen, Ereignisse für bestimmte sicherheitsrelevante Aktivitäten zu protokollieren und zu prüfen.
Wenn das Windows-Betriebssystem und die darunter ausgeführten Anwendungen ihre Aufgaben ausführen, treten Hunderte von Ereignissen auf. Die Überwachung dieser Ereignisse kann sehr wertvolle Informationen liefern, mit deren Hilfe Administratoren Fehler finden und sicherheitsrelevante Aktivitäten untersuchen können.
Worin besteht der Unterschied zwischen Überwachungsrichtlinien in Lokale Richtlinien\Überwachungsrichtlinie und solchen in Erweiterte Überwachungsrichtlinienkonfiguration?
Die grundlegenden Sicherheitsüberwachungs-Richtlinieneinstellungen unter Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie und die erweiterten Sicherheitsüberwachungs-Richtlinieneistellungen unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien scheinen sich zu überschneiden, werden jedoch in anderer Weise aufgezeichnet und angewendet. Wenn Sie grundlegende Sicherheitüberwachungsrichtlinien auf einem lokalen Computer mit dem Snap-In Lokale Sicherheitsrichtlinie (secpol.msc) anwenden, bearbeiten Sie die gültige Überwachungsrichtlinie. Änderungen an den grundlegenden Überwachungsrichtlinieneinstellungen werden daher genau wie in Auditpol.exe konfiguriert angezeigt.
Es gibt eine Reihe von zusätzlichen Unterschieden zwischen den Sicherheitsüberwachungs-Richtlinieneinstellungen an diesen beiden Speicherorten.
Es gibt neun grundlegende Überwachungsrichtlinieneinstellungen unter Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie und Einstellungen unter Erweiterte Überwachungsrichtlinienkonfiguration. Die unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration verfügbaren Einstellungen gelten für ähnliche Probleme wie die neun grundlegenden Einstellungen unter Lokale Richtlinien/Überwachungsrichtlinie, ermöglichen Administratoren jedoch eine größere Auswahl bei der Zahl und der Art der zu überwachenden Ereignisse. So bietet die grundlegende Überwachungsrichtlinie beispielsweise eine einzelne Einstellung für die Kontoanmeldung, wohingegen die erweiterte Überwachungsrichtlinie vier davon bietet. Die Aktivierung der einzelnen grundlegenden Einstellungen für Kontoanmeldungen entspricht der Aktivierung aller vier Kontoanmeldungseinstellungen der erweiterten Richtlinie. Im Vergleich dazu generiert die Einrichtung einer einzelnen erweiterten Überwachungsrichtlinieneinstellung keine Überwachungsereignisse, an deren Nachverfolgung Sie nicht interessiert sind.
Wenn Sie die Erfolgsüberwachung für die grundlegende Funktion Anmeldeversuche überwachen aktivieren, werden darüber hinaus für alle mit der Kontoanmeldung verbundenen Verhaltensweisen nur erfolgreiche Ereignisse protokolliert. Im Vergleich dazu können Sie, je nach den Anforderungen Ihrer Organisation, die Erfolgsüberwachung für eine erweiterte Kontoanmeldungseinstellung, die Fehlerüberwachung für eine andere und die Erfolgs- und Fehlerüberwachung für eine dritte erweiterte Kontoanmeldungseinstellung, oder keine Überwachung, einrichten.
Die neun grundlegenden Einstellungen unter Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie wurden in Windows 2000 eingeführt. Sie sind daher in allen seitdem eingeführten Versionen von Windows verfügbar. Die erweiterten Überwachungsrichtlinieneinstellungen wurden in Windows Vista und Windows Server 2008 eingeführt. Die erweiterten Einstellungen können nur auf Computern mit Windows 7, Windows Server 2008 und höher verwendet werden.
Wie interagieren grundlegende und erweiterte Überwachungsrichtlinieneinstellungen miteinander?
Die grundlegenden Überwachungsrichtlinieneinstellungen sind nicht mit erweiterten Überwachungsrichtlinieneinstellungen kompatibel, die über eine Gruppenrichtlinie angewendet werden. Wenn erweiterte Überwachungsrichtlinieneinstellungen über eine Gruppenrichtlinie angewendet werden, werden die Überwachungsrichtlinieneinstellungen des jeweiligen Computers gelöscht, bevor die resultierenden erweiterten Überwachungsrichtlinieneinstellungen angewendet werden. Nachdem Sie erweiterte Überwachungsrichtlinieneinstellungen über eine Gruppenrichtlinie angewendet haben, können Sie die Systemüberwachungsrichtlinie für den Computer nur mit den erweiterten Überwachungsrichtlinieneinstellungen zuverlässig einrichten.
Das Bearbeiten und Anwenden der erweiterten Überwachungsrichtlinieneinstellungen in der lokalen Sicherheitsrichtlinie ändert das lokale Gruppenrichtlinienobjekt (GPO), sodass hier vorgenommene Änderungen nicht exakt in Auditpol.exe reflektiert werden, wenn es Richtlinien von anderen Domänen-Gruppenrichtlinienobjekten oder Anmeldeskripten gibt. Beide Arten von Richtlinien können mit Domänen-Gruppenrichtlinienobjekten bearbeitet und angewendet werden, und diese Einstellungen überschreiben alle lokalen Überwachungsrichtlinieneinstellungen, die damit in Konflikt stehen. Da die grundlegende Überwachungsrichtlinie in der gültigen Überwachungsrichtlinie aufgezeichnet wird, muss die Überwachungsrichtlinie ausdrücklich entfernt werden, wenn eine Änderung gewünscht wird; andernfalls verbleibt sie in der gültigen Überwachungsrichtlinie. Richtlinienänderungen, die mithilfe von lokalen oder Domänen-Gruppenrichtlinieneinstellungen vorgenommen werden, werden reflektiert, sobald die neue Richtlinie angewendet wird.
Wichtig
Unabhängig davon, ob Sie erweiterte Überwachungsrichtlinien über eine Gruppenrichtlinie oder mit Anmeldeskripts anwenden, verwenden Sie nicht gleichzeitig die grundlegenden Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien/Überwachungsrichtlinie und die erweiterten Einstellungen unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration. Die gleichzeitige Verwendung von grundlegenden und erweiterten Überwachungsrichtlinieneinstellungen kann zu unerwarteten Ergebnissen bei den Überwachungsberichten führen.
Wenn Sie die Einstellungen der erweiterten Überwachungsrichtlinienkonfiguration oder Anmeldeskripts für die Anwendung erweiterter Überwachungsrichtlinien verwenden, achten Sie darauf, dass Sie die Richtlinieneinstellung Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen unter Lokale Richtlinien/Sicherheitsoptionen aktivieren. Dies verhindert Konflikte zwischen ähnlichen Einstellungen, da grundlegende Sicherheitsüberwachungen ignoriert werden.
Wie werden Überwachungseinstellungen durch eine Gruppenrichtlinie zusammengeführt?
Standardmäßig werden alle Richtlinienoptionen, die in Gruppenrichtlinienobjekten eingerichtet und mit höheren Ebenen von Active Directory-Standorten, Domänen und Organisationseinheiten verknüpft sind, von allen Organisationseinheiten auf niedrigeren Ebenen übernommen. Allerdings kann eine auf diese Weise übernommene Richtlinie von einem Gruppenrichtlinienobjekt überschrieben werden, das auf einer niedrigeren Ebene verknüpft ist.
Beispielsweise können Sie ein Domänen-Gruppenrichtlinienobjekt zur Zuweisung einer organisationsweiten Gruppe von Überwachungseinstellungen verwenden, möchten aber, dass eine bestimmte Organisationseinheit eine definierte Gruppe zusätzlicher Einstellungen erhält. Um dies zu erreichen, können Sie ein zweites Gruppenrichtlinienobjekt mit dieser bestimmten Organisationseinheit auf niedrigerer Ebene verknüpfen. Daher überschreibt eine Anmeldeeinstellung, die auf der Ebene der Organisationseinheit angewendet wird, eine damit in Konflikt stehende Anmeldeüberwachungseinstellung, die auf Domänenebene angewendet wird (es sei denn, Sie haben besondere Schritte unternommen, um die Loopback-Verarbeitung von Gruppenrichtlinien anzuwenden).
Die Regeln, die festlegen, wie Gruppenrichtlinieneinstellungen angewendet werden, werden auf die Unterkategorieebene von Überwachungsrichtlinieneinstellungen übertragen. Dies bedeutet, dass in unterschiedlichen Gruppenrichtlinienobjekten konfigurierte Überwachungsrichtlinieneinstellungen zusammengeführt werden, wenn keine auf einer niedrigeren Ebene konfigurierten Richtlinieneinstellungen vorhanden sind. Die folgende Tabelle illustriert diese Verhaltensweise.
| Überwachungsunterkategorie | In einem Organisationseinheit-Gruppenrichtlinienobjekt konfigurierte Einstellung (höhere Priorität) | In einem Domänen-Gruppenrichtlinienobjekt konfigurierte Einstellung (niedrigere Priorität) | Resultierende Richtlinie für den Zielcomputer |
|---|---|---|---|
Detaillierte Überwachung der Dateifreigabe |
Erfolg |
Fehler |
Erfolg |
Prozesserstellungsüberwachung |
Deaktiviert |
Erfolg |
Deaktiviert |
Anmeldungsüberwachung |
Erfolg |
Fehler |
Fehler |
Was ist der Unterschied zwischen einer Objekt-DACL und einer Objekt-SACL?
Alle Objekte in Active Directory-Domänendiensten (AD DS) und alle sicherungsfähigen Objekte auf einem lokalen Computer oder im Netzwerk verfügen über Sicherheitsbeschreibungen zur Steuerung des Zugriffs auf die Objekte. Sicherheitsbeschreibungen enthalten Informationen darüber, wer der Eigentümer eines Objekts ist, wer darauf wie zugreifen kann, und welche Zugriffsarten überwacht werden. Sicherheitsbeschreibungen enthalten die Zugriffssteuerungsliste eines Objekts, die alle Sicherheitsberechtigungen enthält, die für dieses Objekt gelten. Die Sicherheitsbeschreibung eines Objekts kann zwei Arten von ACLs enthalten:
Eine freigegebene Zugriffssteuerungsliste (DACL), die die Benutzer und Gruppen angibt, denen der Zugriff erlaubt oder nicht erlaubt ist.
Eine System-Zugriffssteuerungsliste (SACL), die steuert, wie der Zugriff überwacht wird.
Das Zugriffssteuerungsmodell, das in Windows verwendet wird, wird auf Objektebene durch Einstellung verschiedener Zugriffsstufen, oder Berechtigungen, für Objekte verwaltet. Wenn Berechtigungen für ein Objekt konfiguriert sind, enthält dessen Sicherheitsbeschreibung eine DACL mit Sicherheitskennungen (SIDs) für die Benutzer und Gruppen, denen der Zugriff gewährt oder nicht gewährt wird.
Wenn für das Objekt eine Überwachung konfiguriert ist, enthält dessen Sicherheitsbeschreibung auch eine SACL, die steuert, wie das Sicherheitsuntersystem Versuche zum Zugriff auf das Objekt überwacht. Die Überwachung ist jedoch erst dann vollständig konfiguriert, wenn eine SACL für ein Objekt und eine entsprechende Objektzugriffs-Überwachungsrichtlinieneinstellung konfiguriert und angewendet wird.
Warum werden Überwachungsrichtlinien für einzelne Computer und nicht für einzelne Benutzer angewendet?
Bei der Sicherheitsüberwachung in Windows sind der Computer, die Objekte auf dem Computer und die zugehörigen Ressourcen die primären Empfänger von Aktionen durch Clients, darunter Anwendungen, andere Computer und Benutzer. Bei einer Sicherheitsverletzung können böswillige Benutzer alternative Zugangsdaten verwenden, um ihre Identität zu verbergen, oder böswillige Anwendungen können sich als legitime Benutzer ausgeben, um unerwünschte Aktionen durchzuführen. Daher konzentriert sich die am meisten konsistente Methode für die Anwendung einer Überwachungsrichtlinie auf den Computer sowie die darauf befindlichen Objekte und Ressourcen.
Da Überwachungsrichtlinieneinstellungen für Computer mit unterschiedlichen Windows-Versionen variieren können, besteht die beste Methode zur Sicherstellung, dass die Überwachungsrichtlinie korrekt angewendet wird, darin, diese Einstellungen auf dem Computer und nicht auf dem Benutzer zu basieren.
In Fällen, bei denen Sie möchten, dass Überwachungseinstellungen nur für bestimmte Benutzergruppen gelten, können Sie dies jedoch auch dadurch erreichen, dass Sie SACL auf den relevanten Objekten konfigurieren, um die Überwachung für eine Sicherheitsgruppe zu aktivieren, die nur die von Ihnen angegebenen Benutzer enthält. So können Sie etwa eine SACL für einen Ordner mit der Bezeichnung „Lohndaten auf Buchhaltungsserver 1“ konfigurieren. Dadurch werden Zugriffsversuche von Mitgliedern der Organisationseinheit „Lohnverarbeiter“ zum Löschen von Objekten aus diesem Ordner überwacht. Die Überwachungsrichtlinieneinstellung Objektzugriff\Dateisystem überwachen gilt für den Buchhaltungsserver 1, da dazu aber eine entsprechende Ressourcen-SACL erforderlich ist, führen nur Aktionen von Mitgliedern der Organisationseinheit „Lohnverarbeiter“ im Lohndatenordner zu Überwachungsereignissen.
Worin bestehen die Unterschiede der Überwachungsfunktionen zwischen verschiedenen Versionen von Windows?
Grundlegende Überwachungsrichtlinieneinstellungen sind in allen Windows-Versionen seit Windows 2000 verfügbar und können lokal oder über eine Gruppenrichtlinie angewendet werden. Erweiterte Überwachungsrichtlinieneinstellungen wurden in Windows Vista und Windows Server 2008 eingeführt, die Einstellungen können in diesen Versionen jedoch nur über Anmeldeskripte angewendet werden. Erweiterte Überwachungsrichtlinieneinstellungen, die in Windows 7 und Windows Server 2008 R2 eingeführt wurden, können mit lokalen und domänenweiten Gruppenrichtlinieneinstellungen konfiguriert und angewendet werden.
Kann ich erweiterte Überwachungsrichtlinien von einem Domänencontroller mit Windows Server 2003 oder Windows 2000 Server verwenden?
Zur Verwendung von erweiterten Überwachungsrichtlinieneinstellungen muss Ihr Domänencontroller auf einem Computer mit Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 mit Service Pack 2 (SP2) installiert sein. Windows 2000 Server wird nicht unterstützt.
Was ist der Unterschied zwischen Erfolgs- und Fehlerereignissen? Liegt ein Problem vor, wenn ich ein fehlerhaftes Überwachungsereignis erhalte?
Ein erfolgreiches Überwachungsereignis wird ausgelöst, wenn eine definierte Aktion, wie etwa der Zugriff auf eine Dateifreigabe, erfolgreich abgeschlossen wird.
Ein fehlerhaftes Überwachungsereignis wird ausgelöst, wenn eine definierte Aktion, wie etwa die Anmeldung eines Benutzers, nicht erfolgreich abgeschlossen wurde.
Das Auftreten fehlerhafter Überwachungsereignisse im Ereignisprotokoll bedeutet nicht zwingend, dass ein Problem mit Ihrem System vorliegt. Wenn Sie beispielsweise Ereignisse zur Anmeldungsüberwachung konfigurieren, kann ein fehlerhaftes Ereignis einfach nur bedeuten, dass ein Benutzer sein Kennwort falsch eingegeben hat.
Wie kann ich eine Überwachungsrichtlinie einrichten, die für alle Objekte auf einem Computer gilt?
Systemadministratoren und Prüfer möchten immer häufiger überprüfen, dass eine Überwachungsrichtlinie auf alle Objekte in einem System angewendet wird. Dies war bislang schwierig, da die System-Zugriffssteuerungslisten (SACLs), die die Überwachung steuern, auf einzelne Objekte angewendet werden. Um zu überprüfen, dass eine Überwachungsrichtlinie auf alle Objekte angewendet wurde, musste man daher jedes einzelne Objekt prüfen, um sicherzustellen, dass keine Änderungen vorgenommen wurden – selbst vorübergehend für eine einzelne SACL.
Ab Windows Server 2008 R2 und Windows 7 erlaubt die Sicherheitsüberprüfung Administratoren die Definition globaler Überwachungsrichtlinien für den Objektzugriff für das gesamte Dateisystem oder die Registrierung auf einem Computer. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Dies kann nützlich sein, um zu überprüfen, dass alle kritischen Dateien, Ordner und Registrierungseinstellungen auf einem Computer geschützt sind, sowie um zu erkennen, dass ein Problem mit einer Systemressource aufgetreten ist. Wenn eine Datei- oder Ordner-SACL und eine globale Überwachungsrichtlinie für den Objektzugriff (oder eine einzelne Registrierungseinstellungs-SACL und eine globale Überwachungsrichtlinie für den Objektzugriff) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei- oder Ordner-SACL und der globalen Überwachungsrichtlinie für den Objektzugriff abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität der Datei- oder Ordner-SACL oder der globalen Objektzugriffs-Überwachungsrichtlinie entspricht.
Wie finde ich heraus, warum jemand auf eine Ressource zugreifen konnte?
Häufig reicht es nicht aus, nur zu wissen, dass auf ein Objekt wie eine Datei oder einen Ordner zugegriffen wurde. Sie möchten dann auch wissen, warum der Benutzer auf diese Ressource zugreifen konnte. Sie erhalten diese forensischen Daten durch die Konfiguration der Einstellung Handleänderung überwachen mit der Überwachungseinstellung Dateisystem überwachen oder Registrierung überwachen.
Woran erkenne ich, wenn Änderungen an Zugriffssteuerungseinstellungen vorgenommen wurden, wer dies getan hat, und worin diese Änderungen bestehen?
Zur Nachverfolgung von Änderungen an Zugriffssteuerungseinstellungen auf Computern mit Windows Server 2016 Technical Preview, Windows Server 2012 R2, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 müssen Sie die folgenden Einstellungen aktivieren, die Änderungen an DACLs nachverfolgen:
Dateisystem überwachen-Unterkategorie: Aktivieren für Erfolg, Fehler oder Erfolg und Fehler
Autorisierungsrichtlinienänderung überwachen-Einstellung: Aktivieren für Erfolg, Fehler oder Erfolg und Fehler
Eine SACL mit den Berechtigungen Schreiben und Besitzrechte übernehmen: Anwenden auf das Objekt, das Sie überwachen möchten
In Windows XP und Windows Server 2003 müssen Sie die Unterkategorie Richtlinienänderungen überwachen verwenden.
Wie kann ich Sicherheitsüberwachungsrichtlinien von den erweiterten auf die grundlegenden Überwachungsrichtlinien zurücksetzen?
Die Anwendung erweiterter Überwachungsrichtlinieneinstellungen ersetzt alle vergleichbaren grundlegenden Einstellungen von Sicherheitsüberwachungsrichtlinien. Wenn Sie später die erweiterte Überwachungsrichtlinieneinstellung zu Nicht konfiguriert ändern, müssen Sie die folgenden Schritte unternehmen, um die ursprünglichen Einstellungen der Sicherheitsüberwachungsrichtlinien wiederherzustellen:
Setzen Sie alle Unterkategorien der erweiterten Überwachungsrichtlinie auf Nicht konfiguriert.
Löschen Sie alle audit.csv-Dateien aus dem Ordner %SYSVOL% auf dem Domänencontroller.
Konfigurieren Sie die grundlegenden Überwachungsrichtlinieneinstellungen neu und wenden Sie sie an.
Wenn Sie nicht alle diese Schritte durchführen, werden die grundlegenden Überwachungsrichtlinieneinstellungen nicht wiederhergestellt.
Wie kann ich überwachen, ob Änderungen an Überwachungsrichtlinieneinstellungen vorgenommen wurden?
Änderungen an Sicherheitsüberwachungsrichtlinien sind kritische Sicherheitsereignisse. Mit der Einstellung Überwachungsrichtlinienänderung überwachen können Sie feststellen, ob das Betriebssystem Überwachungsereignisse generiert, wenn die folgenden Arten von Aktivitäten auftreten:
Berechtigungen und Überwachungseinstellungen auf dem Überwachungsrichtlinienobjekt werden geändert
Die Überwachungsrichtlinie des Systems wird geändert
Quellen für Sicherheitsereignisse werden registriert oder ihre Registrierung wird aufgehoben
Benutzerspezifische Überwachungseinstellungen werden geändert.
Der Wert von CrashOnAuditFail wird geändert
Überwachungseinstellungen auf einer Datei oder einem Registrierungsschlüssel werden geändert
Eine Liste spezieller Gruppen wird geändert
Wie kann ich die Anzahl der Ereignisse minimieren, die generiert werden?
Es kann schwierig sein, das richtige Gleichgewicht zwischen der Überwachung einer ausreichenden Zahl von Computer- und Netzwerkaktivitäten und der Überwachung von zu wenigen dieser Aktivitäten zu finden. Sie können dieses Gleichgewicht erreichen, indem Sie die wichtigsten Ressourcen, kritische Aktivitäten und die wichtigsten Benutzer oder Benutzergruppen identifizieren. Entwerfen Sie dann eine Sicherheitsüberwachungsrichtlinie für genau diese Ressourcen, Aktivitäten und Benutzer. Nützliche Anleitungen und Empfehlungen für die Entwicklung einer effektiven Sicherheitsüberwachungsstrategie finden Sie unter Planung und Bereitstellung erweiterter Sicherheitsüberwachungsrichtlinien.
Welche sind die besten Tools für die Modellierung und Verwaltung von Überwachungsrichtlinien?
Die Integration erweiterter Überwachungsrichtlinieneinstellungen mit Domänen-Gruppenrichtlinien, die seit Windows 7 und Windows Server 2008 R2 möglich ist, soll die Verwaltung und Implementierung von Sicherheitsüberwachungsrichtlinien in Netzwerken von Organisationen vereinfachen. Die Tools für die Planung und Bereitstellung von Gruppenrichtlinienobjekten für eine Domäne können als solche auch zum Planen und Bereitstellen von Sicherheitsüberwachungsrichtlinien verwendet werden.
Auf einem einzelnen Computer kann das Befehlszeilentool Auditpol verwendet werden, um eine Reihe wichtiger Verwaltungsaufgaben im Zusammenhang mit Überwachungsrichtlinien durchzuführen.
Darüber hinaus gibt es einige Computerverwaltungstools, wie etwa die Überwachungssammeldienste (ACS) in den Microsoft System Center Operations Manager-Produkten, die zur Sammlung und Filterung von Ereignisdaten verwendet werden können.
Wo finde ich Informationen über alle möglichen Ereignisse, die ich erhalten kann?
Benutzer, die das Sicherheitsereignisprotokoll zum ersten Mal untersuchen, sind möglicherweise von der großen Zahl von Überwachungsereignissen, die hier gespeichert (dies können schnell mehrere Tausend Ereignisse sein) und von den für jedes Überwachungsereignis gegebenen strukturierten Informationen überwältigt. Weitere Informationen zu diesen Ereignissen und den Einstellungen, die für ihre Generierung verwendet werden, finden Sie in den folgenden Ressourcen:
Einzelheiten zu Sicherheitsereignissen in Windows 8 und Windows Server 2012
Sicherheitsüberwachungsereignisse für Windows 7 und Windows Server 2008 R2
Sicherheitsüberwachungsereignisse für Windows Server 2008 und Windows Vista
Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien
Wo finde ich ausführlichere Informationen?
Weitere Informationen zu Sicherheitsüberwachungsrichtlinien finden Sie in den folgenden Ressourcen:
Planen und Bereitstellen erweiterter Sicherheitsüberwachungsrichtlinien
Planungsanleitung für die Sicherheitsüberwachung und das Erkennen von Angriffen
Sicherheitsüberwachungsereignisse für Windows 7 und Windows Server 2008 R2
Sicherheitsüberwachungsereignisse für Windows Server 2008 und Windows Vista