Erstellen einer grundlegenden Überwachungsrichtlinie für eine Ereigniskategorie

Durch Definieren von Überwachungseinstellungen für bestimmte Ereigniskategorien können Sie eine Überwachungsrichtlinie erstellen, die den Sicherheitsanforderungen Ihres Unternehmens entspricht. Auf Geräten, die einer Domäne angehören, sind Überwachungseinstellungen für die Ereigniskategorien standardmäßig nicht definiert. Auf Domänencontrollern ist die Überwachung standardmäßig aktiviert.

Um diese Vorgehensweise ausführen zu können, müssen Sie als Mitglied der integrierten Administratorengruppe angemeldet sein.

So definieren oder Ändern Sie Überwachungsrichtlinieneinstellungen für eine Ereigniskategorie für den lokalen Computer

1. Öffnen Sie das Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc), und klicken Sie dann auf Lokale Richtlinien.
2. Klicken Sie auf Überwachungsrichtlinie.
3. Doppelklicken Sie im Ergebnisbereich auf eine Ereigniskategorie, für die Sie die Überwachungsrichtlinieneinstellungen ändern möchten.
4. Führen Sie einen oder beide der folgenden Schritte aus, und klicken Sie dann auf OK.
   • Aktivieren Sie zum Überwachen erfolgreicher Versuche das Kontrollkästchen Erfolg.
   • Zum Überwachen nicht erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Fehler.

Um diese Vorgehensweise auszuführen, müssen Sie als Mitglied der Domänenadministratorengruppe angemeldet sein.

So definieren oder ändern Sie Überwachungsrichtlinieneinstellungen für eine Ereigniskategorie für eine Domäne oder eine Organisationseinheit, wenn Sie sich auf einem Mitgliedsserver oder einer Arbeitsstation befinden, die einer Domäne angehört

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC).
2. Doppelklicken Sie in der Konsolenstruktur auf Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, die das Gruppenrichtlinienobjekt Standarddomänenrichtlinie enthält, das Sie bearbeiten möchten.
3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
4. Gehen Sie in der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, und klicken Sie dann auf Überwachungsrichtlinie.
5. Doppelklicken Sie im Ergebnisbereich auf eine Ereigniskategorie, für die Sie die Überwachungsrichtlinieneinstellungen ändern möchten.
6. Wenn Sie zum ersten Mal Überwachungsrichtlinieneinstellungen für diese Ereigniskategorie definieren, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
7. Führen Sie einen oder beide der folgenden Schritte aus, und klicken Sie dann auf OK.
   • Aktivieren Sie zum Überwachen erfolgreicher Versuche das Kontrollkästchen Erfolg.
   • Zum Überwachen nicht erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Fehler.

Weitere Aspekte

• Um den Zugriff auf Objekte zu überwachen, aktivieren Sie die Überwachung der Objektzugriff-Ereigniskategorie mithilfe der oben beschriebenen Schritte. Aktivieren Sie dann die Überwachung für das bestimmte Objekt.
• Nachdem die Überwachungsrichtlinie konfiguriert wurde, werden Ereignisse im Sicherheitsprotokoll aufgezeichnet. Öffnen Sie das Sicherheitsprotokoll, um diese Ereignisse anzuzeigen.
• Der standardmäßige Überwachungsrichtlinieneinstellung für Domänencontroller ist Keine Überwachung. Das heißt, dass auch wenn die Überwachung in der Domäne aktiviert ist, die Domänencontroller die Überwachungsrichtlinie nicht lokal erben. Wenn Sie möchten, dass die Überwachungsrichtlinie auf Domänencontroller angewendet wird, müssen Sie diese Richtlinieneinstellung ändern.