Freigeben über


Audit Policy Recommendations

Dieser Abschnitt befasst sich mit den Windows-Standardeinstellungen für Überwachungsrichtlinien, den empfohlenen Baselineeinstellungen für Überwachungsrichtlinien und den aggressiveren Empfehlungen von Microsoft für Arbeitsstations- und Serverprodukte.

Die hier gezeigten SCM-Baselineempfehlungen sowie die Einstellungen, die wir zur Erkennung von Kompromittierungen empfehlen, sollen lediglich als ein erster Basisleitfaden für Administratoren dienen. Jede Organisation muss ihre eigenen Entscheidungen bezüglich der Bedrohungen, denen sie ausgesetzt sind, ihren akzeptablen Risikotoleranzen und der Überwachungsrichtlinienkategorien oder Unterkategorien, die sie aktivieren sollten, treffen. Weitere Informationen zu Bedrohungen finden Sie im Leitfaden zu Bedrohungen und Gegenmaßnahmen. Administratoren, die noch keine durchdachte Überwachungsrichtlinie eingerichtet haben, sollten mit den hier empfohlenen Einstellungen beginnen und diese dann vor der Implementierung in ihrer Produktionsumgebung ändern und testen.

Die Empfehlungen gelten für Computer der Unternehmensklasse, laut Definition von Microsoft also Computer mit durchschnittlichen Sicherheitsanforderungen und einem hohen Maß an erforderlicher Betriebsfunktionalität. Entitäten mit höheren Sicherheitsanforderungen sollten aggressivere Überwachungsrichtlinien in Betracht ziehen.

Hinweis

Microsoft Windows-Standard- und Baselineempfehlungen wurden aus dem Microsoft Security Compliance Manager-Tool übernommen.

Die folgenden Baselineeinstellungen für Überwachungsrichtlinien werden für Computer mit normalen Sicherheitsanforderungen empfohlen, die nicht bereits bekanntermaßen unter aktiven, erfolgreichen Angriffen durch bestimmte Angreifer oder Schadsoftware leiden.

Dieser Abschnitt enthält Tabellen, in denen die Empfehlungen für Überwachungseinstellungen aufgeführt sind, die für die folgenden Betriebssysteme gelten:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • WindowsServer 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Diese Tabellen enthalten die Windows-Standardeinstellung, die Baselineempfehlungen und die stärkeren Empfehlungen für diese Betriebssysteme.

Legende zur Tabelle „Überwachungsrichtlinie“

Notation Empfehlung
Ja In allgemeinen Szenarien aktivieren
Nein In allgemeinen Szenarien nicht aktivieren
Wenn Bei Bedarf für ein bestimmtes Szenario aktivieren, oder wenn auf dem Computer Rollen oder ein Features installiert sind, für die die Überwachung gewünscht wird
DC Auf Domänencontrollern aktivieren
[leer] Keine Empfehlung

Empfehlungen zu Überwachungseinstellungen für Windows 10, Windows 8 und Windows 7

Überwachungsrichtlinie

Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Kontoanmeldung
Überprüfen der Anmeldeinformationen überwachen No | No Yes | No Yes | Yes
Kerberos-Authentifizierungsdienst überwachen Yes | Yes
Ticketvorgänge des Kerberos-Diensts überwachen Yes | Yes
Andere Kontoanmeldungsereignisse überwachen Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Kontoverwaltung
Anwendungsgruppenverwaltung überwachen
Computerkontoverwaltung überwachen Yes | No Yes | Yes
Verteilergruppenverwaltung überwachen
Andere Kontoverwaltungsereignisse überwachen Yes | No Yes | Yes
Sicherheitsgruppenverwaltung überwachen Yes | No Yes | Yes
Benutzerkontenverwaltung überwachen Yes | No Yes | No Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Detaillierte Überwachung
DPAPI-Aktivität überwachen Yes | Yes
Prozesserstellung überwachen Yes | No Yes | Yes
Prozessbeendung überwachen
RPC-Ereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

DS-Zugriff
Detaillierte Verzeichnisdienstreplikation überwachen
Verzeichnisdienstzugriff überwachen
Verzeichnisdienständerungen überwachen
Verzeichnisdienstreplikation überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Anmelden und Abmelden
Kontosperrung überwachen Yes | No Yes | No
Benutzer-/Geräteansprüche überwachen
IPsec-Erweiterungsmodus überwachen
IPsec-Hauptmodus überwachen IF | IF
IPsec-Schnellmodus überwachen
Abmelden überwachen Yes | No Yes | No Yes | No
Anmelden überwachen 1 Yes | Yes Yes | Yes Yes | Yes
Netzwerkrichtlinienserver überwachen Yes | Yes
Andere Anmelde-/Abmeldeereignisse überwachen
Spezielle Anmeldung überwachen Yes | No Yes | No Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Objektzugriff
Anwendung generiert überwachen
Zertifizierungsdienste überwachen
Detaillierte Dateifreigabe überwachen
Dateifreigabe überwachen
Dateisystem überwachen
Filterplattformverbindung überwachen
Verworfene Filterplattformpakete überwachen
Handleänderung überwachen
Kernelobjekt überwachen
Andere Objektzugriffsereignisse überwachen
Registrierung überwachen
Wechselmedien überwachen
SAM überwachen
Staging zentraler Zugriffsrichtlinien überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Richtlinienänderung
Überwachungsrichtlinienänderung überwachen Yes | No Yes | Yes Yes | Yes
Authentifizierungsrichtlinienänderung überwachen Yes | No Yes | No Yes | Yes
Autorisierungsrichtlinienänderung überwachen
Richtlinienänderung für Filterplattform überwachen
MPSSVC-Richtlinienänderung auf Regelebene überwachen Yes
Andere Richtlinienänderungsereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Berechtigungen
Nicht sensible Verwendung von Rechten überwachen
Andere Rechteverwendungsereignisse überwachen
Sensible Verwendung von Rechten überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

System
IPsec-Treiber überwachen Yes | Yes Yes | Yes
Andere Systemereignisse überwachen Yes | Yes
Sicherheitsstatusänderung überwachen Yes | No Yes | Yes Yes | Yes
Sicherheitssystemerweiterung überwachen Yes | Yes Yes | Yes
Systemintegrität überwachen Yes | Yes Yes | Yes Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Globale Objektzugriffsüberwachung
IPsec-Treiber überwachen
Andere Systemereignisse überwachen
Sicherheitsstatusänderung überwachen
Sicherheitssystemerweiterung überwachen
Systemintegrität überwachen

1 Ab Windows 10, Version 1809, ist „Anmeldung überwachen“ für „Erfolg“ und „Fehler“ standardmäßig aktiviert. In früheren Versionen von Windows ist standardmäßig nur „Erfolg“ aktiviert.

Empfehlungen zu Überwachungseinstellungen für Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 und Windows Server 2008

Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Kontoanmeldung
Überprüfen der Anmeldeinformationen überwachen No | No Yes | Yes Yes | Yes
Kerberos-Authentifizierungsdienst überwachen Yes | Yes
Ticketvorgänge des Kerberos-Diensts überwachen Yes | Yes
Andere Kontoanmeldungsereignisse überwachen Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Kontoverwaltung
Anwendungsgruppenverwaltung überwachen
Computerkontoverwaltung überwachen Yes | DC Yes | Yes
Verteilergruppenverwaltung überwachen
Andere Kontoverwaltungsereignisse überwachen Yes | Yes Yes | Yes
Sicherheitsgruppenverwaltung überwachen Yes | Yes Yes | Yes
Benutzerkontenverwaltung überwachen Yes | No Yes | Yes Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Detaillierte Überwachung
DPAPI-Aktivität überwachen Yes | Yes
Prozesserstellung überwachen Yes | No Yes | Yes
Prozessbeendung überwachen
RPC-Ereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

DS-Zugriff
Detaillierte Verzeichnisdienstreplikation überwachen
Verzeichnisdienstzugriff überwachen DC | DC DC | DC
Verzeichnisdienständerungen überwachen DC | DC DC | DC
Verzeichnisdienstreplikation überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Anmelden und Abmelden
Kontosperrung überwachen Yes | No Yes | No
Benutzer-/Geräteansprüche überwachen
IPsec-Erweiterungsmodus überwachen
IPsec-Hauptmodus überwachen IF | IF
IPsec-Schnellmodus überwachen
Abmelden überwachen Yes | No Yes | No Yes | No
Anmelden überwachen Yes | Yes Yes | Yes Yes | Yes
Netzwerkrichtlinienserver überwachen Yes | Yes
Andere Anmelde-/Abmeldeereignisse überwachen Yes | Yes
Spezielle Anmeldung überwachen Yes | No Yes | No Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Objektzugriff
Anwendung generiert überwachen
Zertifizierungsdienste überwachen
Detaillierte Dateifreigabe überwachen
Dateifreigabe überwachen
Dateisystem überwachen
Filterplattformverbindung überwachen
Verworfene Filterplattformpakete überwachen
Handleänderung überwachen
Kernelobjekt überwachen
Andere Objektzugriffsereignisse überwachen
Registrierung überwachen
Wechselmedien überwachen
SAM überwachen
Staging zentraler Zugriffsrichtlinien überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Richtlinienänderung
Überwachungsrichtlinienänderung überwachen Yes | No Yes | Yes Yes | Yes
Authentifizierungsrichtlinienänderung überwachen Yes | No Yes | No Yes | Yes
Autorisierungsrichtlinienänderung überwachen
Richtlinienänderung für Filterplattform überwachen
MPSSVC-Richtlinienänderung auf Regelebene überwachen Yes
Andere Richtlinienänderungsereignisse überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Berechtigungen
Nicht sensible Verwendung von Rechten überwachen
Andere Rechteverwendungsereignisse überwachen
Sensible Verwendung von Rechten überwachen
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

System
IPsec-Treiber überwachen Yes | Yes Yes | Yes
Andere Systemereignisse überwachen Yes | Yes
Sicherheitsstatusänderung überwachen Yes | No Yes | Yes Yes | Yes
Sicherheitssystemerweiterung überwachen Yes | Yes Yes | Yes
Systemintegrität überwachen Yes | Yes Yes | Yes Yes | Yes
Kategorie oder Unterkategorie der Überwachungsrichtlinie Standard (Windows)

Success | Failure

Baselineempfehlung

Success | Failure

Stärkere Empfehlung

Success | Failure

Globale Objektzugriffsüberwachung
IPsec-Treiber überwachen
Andere Systemereignisse überwachen
Sicherheitsstatusänderung überwachen
Sicherheitssystemerweiterung überwachen
Systemintegrität überwachen

Festlegen der Überwachungsrichtlinie auf Arbeitsstationen und Servern

In allen Plänen zur Verwaltung von Ereignisprotokollen sollten Arbeitsstationen und Server überwacht werden. Ein häufiger Fehler besteht darin, nur Server oder Domänencontroller zu überwachen. Da böswilliges Hacken häufig zunächst auf Arbeitsstationen auftritt, wird die beste und früheste Informationsquelle außer Acht gelassen, wenn Arbeitsstationen nicht überwacht werden.

Administratoren sollten jede Überwachungsrichtlinie vor der Implementierung in ihrer Produktionsumgebung mit Bedacht überprüfen und testen.

Zu überwachende Ereignisse

Eine perfekte Ereignis-ID zum Generieren einer Sicherheitswarnung sollte die folgenden Attribute enthalten:

  • Hohe Wahrscheinlichkeit, dass das Auftreten auf unbefugte Aktivitäten hinweist

  • Eine geringe Anzahl falsch positiver Ergebnisse generieren

  • Das Auftreten sollte zu einer (forensischen) Untersuchung führen

Zwei Arten von Ereignissen sollten überwacht werden und zu Warnungen führen:

  1. Ereignisse, bei denen auch ein einmaliges Auftreten auf nicht autorisierte Aktivitäten hinweist

  2. Eine Häufung von Ereignissen, die eine erwartete und akzeptierte Baseline überschreitet

Beispiel für diesen ersten Ereignistyp:

Wenn es Domänenadministratoren (DAs) untersagt ist, sich bei Computern anzumelden, die keine Domänencontroller sind, sollte bereits beim einmaligen Vorfall, dass sich ein Mitglied der Gruppe „Domänenadministratoren“ bei einer Endbenutzerarbeitsstation anmeldet, eine Warnung generiert und der Vorfall untersucht werden. Diese Art von Warnung lässt sich einfach mithilfe des Ereignisses 4964 „Spezielle Anmeldung überwachen“ generieren (Spezielle Gruppen wurden einer neuen Anmeldung zugewiesen). Weitere Beispiele für Warnungen bei einer einzelnen Instanz sind:

  • Wenn Server A niemals eine Verbindung mit Server B herstellen soll, Warnung ausgeben, sobald sie eine Verbindung miteinander herstellen.

  • Warnung, wenn einer sensiblen Sicherheitsgruppe unerwartet ein normales Endbenutzerkonto hinzugefügt wird.

  • Wenn Mitarbeiter am Werksstandort A niemals nachts arbeiten, Warnung ausgeben, wenn sich ein Benutzer um Mitternacht anmeldet.

  • Warnung, wenn ein nicht autorisierter Dienst auf einem Domänencontroller installiert wird.

  • Führen Sie eine Untersuchung durch, wenn ein normaler Endbenutzer versucht, sich direkt bei einer SQL Server-Instanz anzumelden, wenn kein eindeutiger Grund dafür vorliegt.

  • Wenn Ihre Gruppe „Domänenadministratoren“ keine Mitglieder enthält und sich dort jemand selbst hinzufügt, überprüfen Sie diesen Vorfall sofort.

Beispiel für diesen zweiten Ereignistyp:

Eine anomale Anzahl von Anmeldefehlern kann auf einen Angriff hinweisen, bei dem versucht wird, das Kennwort zu raten. Bevor ein Unternehmen bei einer ungewöhnlich hohen Anzahl von Anmeldefehlern eine Warnung ausgibt, muss es zunächst die normalen Ebenen von Anmeldefehlern in seiner Umgebung kennen und von einem böswilligen Sicherheitsereignis unterscheiden können.

Eine umfassende Liste der Ereignisse, die Sie bei der Überwachung auf Anzeichen einer Kompromittierung einschließen sollten, finden Sie in Anhang L: Zu überwachende Ereignisse.

Zu überwachende Active Directory-Objekte und -Attribute

Im Folgenden finden Sie die Konten, Gruppen und Attribute, die Sie überwachen sollten, um Versuche zu erkennen, ihre Active Directory Domain Services-Installation zu kompromittieren.

  • Systeme zum Deaktivieren oder Entfernen von Antiviren- und Antischadsoftware (automatisches Neustarten des Schutzes, wenn er manuell deaktiviert wird)

  • Administratorkonten für nicht autorisierte Änderungen

  • Aktivitäten, die mit Konten mit Berechtigungen ausgeführt werden (Konto automatisch entfernen, wenn verdächtige Aktivitäten durchgeführt werden oder die zugewiesene Zeit abgelaufen ist)

  • Konten mit Berechtigungen und VIP-Konten in AD DS. Überwachen Sie Änderungen, insbesondere Änderungen von Attributen auf der Registerkarte „Konto“ (z. B. „cn“, „name“, „sAMAccountName“, „userPrincipalName“ oder „userAccountControl“). Beschränken Sie zusätzlich zur Überwachung der Konten, wer die Konten ändern darf, auf eine möglichst kleine Gruppe von Administratorbenutzern.

Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.

  • Gruppieren Sie Server nach der Klassifizierung ihrer Workloads. So können Sie schnell die Server identifizieren, die am stärksten überwacht und besonders streng konfiguriert werden sollten.

  • Änderungen an den Eigenschaften und der Mitgliedschaft der folgenden AD DS-Gruppen: „Unternehmensadministratoren“ (EA), „Domänenadministratoren“ (DA), „Integrierte Administratoren“ (BA) und „Schemaadministratoren“ (SA)

  • Deaktivierte Konten mit Berechtigungen (z. B. integrierte Administratorkonten in Active Directory und auf Mitgliedssystemen) zum Aktivieren der Konten

  • Verwaltungskonten zum Protokollieren aller Schreibvorgänge in das Konto

  • Integrierter Sicherheitskonfigurations-Assistent zum Konfigurieren von Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen, um die Angriffsfläche des Servers zu verringern. Verwenden Sie diesen Assistenten, wenn Sie Jumpserver als Teil Ihrer Verwaltungshoststrategie implementieren.

Zusätzliche Informationen zur Überwachung von Active Directory Domain Services

Weitere Informationen zur Überwachung von AD DS finden Sie unter den folgenden Links:

Allgemeine Liste der Empfehlungen und Kritikalitäten zu Sicherheitsereignis-IDs

Alle Empfehlungen zur Ereignis-ID werden wie folgt von einer Kritikalitätsbewertung begleitet:

Hoch: Für Ereignis-IDs mit einer hohen Kritikalitätsbewertung sollten immer sofort Warnungen ausgegeben und Untersuchungen durchgeführt werden.

Mittel: Eine Ereignis-ID mit einer mittleren Kritikalitätsbewertung kann auf böswillige Aktivitäten hinweisen, muss jedoch von einer anderen Anomalie begleitet werden (z. B. einer ungewöhnlichen Anzahl innerhalb eines bestimmten Zeitraums, unerwarteten Vorkommen oder Vorkommen auf einem Computer, bei dem normalerweise nicht erwartet wird, dass das Ereignis protokolliert wird). Ein Ereignis mit mittlerer Kritikalität kann auch als Metrik erfasst und im Zeitverlauf verglichen werden.

Niedrig: Ereignis-IDs mit geringer Kritikalität sollten keine größere Aufmerksamkeit auf sich ziehen oder Warnungen auslösen, es sei denn, sie treten im Zusammenhang mit Ereignissen mittlerer oder hoher Kritikalität auf.

Diese Empfehlungen dienen als Basisleitfaden für den Administrator. Alle Empfehlungen sollten vor der Implementierung in einer Produktionsumgebung gründlich überprüft werden.

Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.