Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen beschrieben.
Referenzen
Überwachungsrichtlinien-Unterkategorien ermöglichen eine präzisere Verwaltung der Überwachungsrichtlinie.
Es gibt mehr als 40 Überwachungsunterkategorien, die genaue Details zu Aktivitäten auf einem Gerät bereitstellen. Informationen zu diesen Unterkategorien finden Sie unter Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien.
Mögliche Werte
Aktiviert
Deaktiviert
Bewährte Methoden
- Lassen Sie die Einstellung aktiviert. Sie können auf diese Weise Ereignisse auf der Kategorieebene überwachen, ohne eine Richtlinie ändern zu müssen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Überwachung
Sie können eine Überwachungsrichtlinie mithilfe von Unterkategorien verwalten, ohne dass die Gruppenrichtlinie geändert werden muss. Der Registrierungswert „SCENoApplyLegacyAuditPolicy“ verhindert, dass von der Gruppenrichtlinie oder dem Verwaltungstool für die lokale Sicherheitsrichtlinie eine Überwachungsrichtlinie auf Kategorieebene angewendet wird.
Wenn die hier festgelegte Überwachungsrichtlinie auf Kategorieebene nicht mit den aktuell generierten Ereignissen übereinstimmt, kann dies am Festlegen diese Registrierungsschlüssel liegen.
Befehlszeilentools
Sie können „auditpol.exe“ verwenden, um Überwachungsrichtlinien an einer Eingabeaufforderung anzuzeigen und zu verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Vor der Einführung von Überwachungsunterkategorien in Windows Vista war es schwierig, Ereignisse pro System oder pro Benutzer zu verfolgen. Die größeren Ereigniskategorien erstellten zu viele Ereignisse, und die tatsächlich wichtigen Informationen waren schwierig zu finden.
Gegenmaßnahme
Aktivieren Sie Überwachungsrichtlinien-Unterkategorien nach Bedarf, um bestimmte Ereignisse nachzuverfolgen.
Mögliche Auswirkungen
Wenn Sie versuchen, eine Überwachungseinstellung mithilfe der Gruppenrichtlinie zu ändern, nachdem Sie die Einstellung über die Befehlszeilenprogramme aktiviert haben, wird die Überwachungseinstellung der Gruppenrichtlinie ignoriert und die benutzerdefinierte Richtlinieneinstellung verwendet. Um Überwachungseinstellungen mithilfe der Gruppenrichtlinie ändern zu können, müssen Sie zunächst den Schlüssel SCENoApplyLegacyAuditPolicy deaktivieren.
Wichtig
Überwachungseinstellungen, die ein hohes Datenverkehrsvolumen generieren können, sind mit Vorsicht zu verwenden. Beispiel: Wenn Sie für alle Unterkategorien der Rechteverwendung die Erfolgs- oder Fehlerüberwachung aktivieren, kann das hohe Volumen an Überwachungsereignissen es schwierig machen, andere Arten von Einträgen im Sicherheitsereignisprotokoll zu finden. Diese Art der Konfiguration kann auch die Systemleistung erheblich beeinträchtigen.