Teilen über


Richtlinien-CSP – Überwachung

AccountLogon_AuditCredentialValidation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Validierungstests für Anmeldeinformationen für Benutzerkonten generiert wurden. Ereignisse in dieser Unterkategorie treten nur auf dem Computer auf, der für diese Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller autoritativ. Für lokale Konten ist der lokale Computer autoritativ.

Volume: Hohe Anzahl von Domänencontrollern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Überprüfen der Anmeldeinformationen überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung

AccountLogon_AuditKerberosAuthenticationService

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von TGT-Anforderungen (Ticket-Granting Ticket) der Kerberos-Authentifizierung generiert werden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird nach einer TGT-Anforderung für die Kerberos-Authentifizierung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird nach einer TGT-Anforderung für die Kerberos-Authentifizierung kein Überwachungsereignis generiert.

Volume: Hohe Anzahl von Kerberos-Schlüsselverteilungscenter-Servern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Kerberos-Authentifizierungsdienst überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung

AccountLogon_AuditKerberosServiceTicketOperations

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von TGT-Anforderungen (Ticket-Granting Ticket) der Kerberos-Authentifizierung generiert werden, die für Benutzerkonten übermittelt werden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, nachdem ein Kerberos-Authentifizierungs-TGT für ein Benutzerkonto angefordert wurde. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, nachdem ein TGT für die Kerberos-Authentifizierung für ein Benutzerkonto erforderlich ist.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Ticketvorgänge des Kerberos-Diensts überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung

AccountLogon_AuditOtherAccountLogonEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Antworten auf Anmeldeinformationsanforderungen generiert werden, die für die Anmeldung eines Benutzerkontos gesendet wurden und keine Überprüfung von Anmeldeinformationen oder Kerberos-Tickets sind. Derzeit gibt es keine Ereignisse in dieser Unterkategorie.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Andere Kontoanmeldungsereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung

AccountLogonLogoff_AuditAccountLockout

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die bei einem fehlgeschlagenen Anmeldeversuch bei einem gesperrten Konto generiert wurden. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn sich ein Konto nicht bei einem Computer anmelden kann, weil das Konto gesperrt ist. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf. Anmeldeereignisse sind wichtig, um die Benutzeraktivität zu verstehen und potenzielle Angriffe zu erkennen.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Kontosperrung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditGroupMembership

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership

Mit dieser Richtlinie können Sie die Gruppenmitgliedschaftsinformationen im Anmeldetoken des Benutzers überwachen. Ereignisse in dieser Unterkategorie werden auf dem Computer generiert, auf dem eine Anmeldesitzung erstellt wird. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Sie müssen auch die Einstellung Anmeldung überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmeldung/Abmelden aktivieren. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert.

Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Gruppenmitgliedschaft überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditIPsecExtendedMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während verhandlungen im erweiterten Modus generiert wurden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Aushandlung im erweiterten Modus ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Aushandlung im erweiterten Modus kein Überwachungsereignis generiert.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name IPsec-Erweiterungsmodus überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditIPsecMainMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während der Verhandlungen im Hauptmodus generiert wurden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Hauptmodus-Aushandlung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Hauptmodus-Aushandlung kein Überwachungsereignis generiert.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name IPsec-Hauptmodus überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditIPsecQuickMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während der Verhandlungen im Schnellmodus generiert wurden. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Schnellmodus-Aushandlung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Schnellmodus-Aushandlung kein Überwachungsereignis generiert.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name IPsec-Schnellmodus überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditLogoff

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die beim Schließen einer Anmeldesitzung generiert wurden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wurde. Für eine interaktive Abmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, bei dem das Benutzerkonto angemeldet ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Schließen einer Anmeldesitzung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, Sitzungen zu schließen, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf, Sitzungen zu schließen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Schließen einer Anmeldesitzung kein Überwachungsereignis generiert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Abmelden überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditLogon

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Anmeldeversuchen des Benutzerkontos auf dem Computer generiert werden. Ereignisse in dieser Unterkategorie beziehen sich auf die Erstellung von Anmeldesitzungen und treten auf dem Computer auf, auf den zugegriffen wurde. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, bei dem das Benutzerkonto angemeldet ist. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Die folgenden Ereignisse sind enthalten: Erfolgreiche Anmeldeversuche. Fehlgeschlagene Anmeldeversuche. Anmeldeversuche mit expliziten Anmeldeinformationen. Dieses Ereignis wird generiert, wenn ein Prozess versucht, sich durch explizite Angabe der Anmeldeinformationen dieses Kontos bei einem Konto anzumelden. Dies tritt am häufigsten bei Batchanmeldungskonfigurationen auf, z. B. bei geplanten Aufgaben oder bei Verwendung des RUNAS-Befehls. Sicherheits-IDs (SIDs) wurden gefiltert und dürfen sich nicht anmelden.

Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Anmelden überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditNetworkPolicyServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von RADIUS (IAS) und NAP-Benutzerzugriffsanforderungen (Network Access Protection, Netzwerkzugriffsschutz) generiert wurden. Diese Anforderungen können Gewähren, Verweigern, Verwerfen, Quarantäne, Sperren und Entsperren sein.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird für jede IAS- und NAP-Benutzerzugriffsanforderung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Benutzerzugriffsanforderungen auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellungen nicht konfigurieren, werden IAS- und NAP-Benutzerzugriffsanforderungen nicht überwacht.

Volume: Mittel oder Hoch auf NPS- und IAS-Server. Kein Volume auf anderen Computern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 (Standard) Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkrichtlinienserver überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditOtherLogonLogoffEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents

Mit dieser Richtlinieneinstellung können Sie andere Anmelde-/Abmeldeereignisse überwachen, die nicht in der Richtlinieneinstellung "Anmeldung/Abmeldung" behandelt werden, z. B.: Verbindungstrennungen von Terminaldiensten-Sitzungen. Neue Terminaldienstesitzungen. Sperren und Entsperren einer Arbeitsstation Aufrufen eines Bildschirmschoner. Einstellung eines Bildschirmschoner. Erkennung eines Kerberos-Replay-Angriffs, bei dem eine Kerberos-Anforderung zweimal mit identischen Informationen empfangen wurde. Diese Bedingung kann durch eine fehlkonfigurierte Netzwerkkonfiguration verursacht werden. Zugriff auf ein Drahtlosnetzwerk, das einem Benutzer- oder Computerkonto gewährt wird. Zugriff auf ein verkabeltes 802.1x-Netzwerk, das einem Benutzer- oder Computerkonto gewährt wird.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Überwachen anderer Abmeldeereignisse
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditSpecialLogon

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von speziellen Anmeldungen wie den folgenden generiert werden: Die Verwendung einer speziellen Anmeldung, bei der es sich um eine Anmeldung handelt, die über administratoräquivalente Berechtigungen verfügt und verwendet werden kann, um einen Prozess auf eine höhere Ebene zu erhöhen. Eine Anmeldung durch ein Mitglied einer speziellen Gruppe. Mit speziellen Gruppen können Sie Ereignisse überwachen, die generiert werden, wenn sich ein Mitglied einer bestimmten Gruppe bei Ihrem Netzwerk angemeldet hat. Sie können eine Liste von Gruppensicherheits-IDs (SIDs) in der Registrierung konfigurieren. Wenn eine dieser SIDs während der Anmeldung einem Token hinzugefügt wird und die Unterkategorie aktiviert ist, wird ein Ereignis protokolliert. Weitere Informationen zu diesem Feature finden Sie im Artikel 947223 in der Microsoft Knowledge Base.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Spezielle Anmeldung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountLogonLogoff_AuditUserDeviceClaims

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims

Mit dieser Richtlinie können Sie Benutzer- und Geräteanspruchsinformationen im Anmeldetoken des Benutzers überwachen. Ereignisse in dieser Unterkategorie werden auf dem Computer generiert, auf dem eine Anmeldesitzung erstellt wird. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Benutzeransprüche werden einem Anmeldetoken hinzugefügt, wenn Ansprüche in den Kontoattributen eines Benutzers in Active Directory enthalten sind. Geräteansprüche werden dem Anmeldetoken hinzugefügt, wenn Ansprüche in den Computerkontoattributen eines Geräts in Active Directory enthalten sind. Darüber hinaus muss die Verbundidentität für die Domäne und auf dem Computer aktiviert werden, auf dem sich der Benutzer angemeldet hat. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Sie müssen auch die Einstellung Anmeldung überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmeldung/Abmelden aktivieren. Mehrere Ereignisse werden generiert, wenn die Benutzer- und Geräteanspruchsinformationen nicht in ein einzelnes Sicherheitsüberwachungsereignis passen können.

Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzergeräteansprüche überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung

AccountManagement_AuditApplicationGroupManagement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Anwendungsgruppen generiert werden, z. B. die folgenden: Anwendungsgruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Anwendungsgruppe hinzugefügt oder daraus entfernt.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, eine Anwendungsgruppe zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Ändern einer Anwendungsgruppe kein Überwachungsereignis generiert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Anwendungsgruppenverwaltung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

AccountManagement_AuditComputerAccountManagement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Computerkonten generiert werden, z. B. wenn ein Computerkonto erstellt, geändert oder gelöscht wird.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Computerkonto zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich ein Computerkonto ändert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Computerkontoverwaltung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

AccountManagement_AuditDistributionGroupManagement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Verteilergruppen generiert werden, z. B. die folgenden: Verteilergruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Verteilergruppe hinzugefügt oder daraus entfernt. Der Typ der Verteilergruppe wird geändert.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, eine Verteilergruppe zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich eine Verteilergruppe ändert.

Hinweis

Ereignisse in dieser Unterkategorie werden nur auf Domänencontrollern protokolliert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Verteilergruppenverwaltung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

AccountManagement_AuditOtherAccountManagementEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von anderen Benutzerkontoänderungen generiert wurden, die nicht in dieser Kategorie behandelt werden, wie z. B.: Auf den Kennworthash eines Benutzerkontos wurde zugegriffen. Dies geschieht in der Regel während einer Kennwortmigration des Active Directory-Verwaltungstools. Die API zur Überprüfung der Kennwortrichtlinie wurde aufgerufen. Aufrufe dieser Funktion können Teil eines Angriffs sein, wenn eine böswillige Anwendung die Richtlinie testet, um die Anzahl der Versuche während eines Kennwortwörterbuchangriffs zu reduzieren. Änderungen an der Standarddomänengruppenrichtlinie unter den folgenden Gruppenrichtlinienpfaden: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrrichtlinie.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Überwachen anderer Kontoverwaltungsereignisse
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

AccountManagement_AuditSecurityGroupManagement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Sicherheitsgruppen generiert werden, z. B. die folgenden: Sicherheitsgruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Sicherheitsgruppe hinzugefügt oder daraus entfernt. Der Gruppentyp wird geändert.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, eine Sicherheitsgruppe zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich eine Sicherheitsgruppe ändert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Sicherheitsgruppenverwaltung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

AccountManagement_AuditUserAccountManagement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement

Mit dieser Richtlinieneinstellung können Sie Änderungen an Benutzerkonten überwachen. Zu den Ereignissen gehören: Ein Benutzerkonto wird erstellt, geändert, gelöscht; umbenannt, deaktiviert, aktiviert, gesperrt oder entsperrt. Das Kennwort eines Benutzerkontos wird festgelegt oder geändert. Dem SID-Verlauf eines Benutzerkontos wird eine Sicherheits-ID (SID) hinzugefügt. Das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus ist konfiguriert. Berechtigungen für Administratorbenutzerkonten werden geändert. Anmeldeinformationen des Anmeldeinformations-Managers werden gesichert oder wiederhergestellt.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Benutzerkonto zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich ein Benutzerkonto ändert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontenverwaltung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung

DetailedTracking_AuditDPAPIActivity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn Verschlüsselungs- oder Entschlüsselungsanforderungen an die Datenschutzanwendungsschnittstelle (Data Protection Application Interface, DPAPI) gesendet werden. DPAPI wird verwendet, um Geheiminformationen wie gespeicherte Kennwort- und Schlüsselinformationen zu schützen. Weitere Informationen zu DPAPI finden Sie unter Verwenden des Datenschutzes.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn eine Verschlüsselungs- oder Entschlüsselungsanforderung an DPAPI gestellt wird. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn eine Verschlüsselungs- oder Entschlüsselungsanforderung an DIE DPAPI gesendet wird.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name DPAPI-Aktivität überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DetailedTracking_AuditPNPActivity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity

Mit dieser Richtlinieneinstellung können Sie überwachen, wann plug and play ein externes Gerät erkennt.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn plug and play ein externes Gerät erkennt. Für diese Kategorie werden nur Erfolgsüberwachungen aufgezeichnet.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein externes Gerät durch Plug & Play erkannt wird.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name PNP-Aktivität überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DetailedTracking_AuditProcessCreation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die beim Erstellen oder Starten eines Prozesses generiert werden. Der Name der Anwendung oder des Benutzers, die den Prozess erstellt hat, wird ebenfalls überwacht.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Erstellen eines Prozesses ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Erstellen eines Prozesses kein Überwachungsereignis generiert.

Volume: Hängt davon ab, wie der Computer verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Prozesserstellung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DetailedTracking_AuditProcessTermination

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn ein Prozess beendet wird.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Beenden eines Prozesses ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Beenden eines Prozesses kein Überwachungsereignis generiert.

Volume: Hängt davon ab, wie der Computer verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Prozessbeendung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DetailedTracking_AuditRPCEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents

Mit dieser Richtlinieneinstellung können Sie eingehende RPC-Verbindungen (Remote Procedure Call) überwachen.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch einer Remote-RPC-Verbindung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch einer REMOTE-RPC-Verbindung kein Überwachungsereignis generiert.

Volume: Hohe Anzahl von RPC-Servern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name RPC-Ereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DetailedTracking_AuditTokenRightAdjusted

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Anpassen der Berechtigungen eines Tokens generiert werden.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Überwachungstoken rechts angepasst
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung

DSAccess_AuditDetailedDirectoryServiceReplication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von einer detaillierten Active Directory Domain Services(AD DS)-Replikation zwischen Domänencontrollern generiert werden.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Detaillierte Verzeichnisdienstreplikation überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff

DSAccess_AuditDirectoryServiceAccess

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die beim Zugriff auf ein AD DS-Objekt (Active Directory Domain Services) generiert werden. Nur AD DS-Objekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) werden protokolliert. Ereignisse in dieser Unterkategorie ähneln den In früheren Versionen von Windows verfügbaren Verzeichnisdienstzugriffsereignissen.

Volume: Hohe Anzahl von Domänencontrollern. Keine auf Clientcomputern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Verzeichnisdienstzugriff überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff

DSAccess_AuditDirectoryServiceChanges

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Objekten in Active Directory Domain Services (AD DS) generiert wurden. Ereignisse werden protokolliert, wenn ein Objekt erstellt, gelöscht, geändert, verschoben oder wiederherstellen wird. In dieser Unterkategorie protokollierte Ereignisse geben nach Möglichkeit die alten und neuen Werte der Eigenschaften des Objekts an. Ereignisse in dieser Unterkategorie werden nur auf Domänencontrollern protokolliert, und nur Objekte in AD DS mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) werden protokolliert.

Hinweis

Aktionen für einige Objekte und Eigenschaften führen aufgrund von Einstellungen für die Objektklasse im Schema nicht dazu, dass Überwachungsereignisse generiert werden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Objekt in AD DS zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, erfolglose Versuche werden jedoch NICHT aufgezeichnet.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, ein Objekt im AD DS-Objekt zu ändern, kein Überwachungsereignis generiert.

Volume: Nur auf Domänencontrollern mit hohem Volumen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Verzeichnisdienständerungen überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff

DSAccess_AuditDirectoryServiceReplication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication

Mit dieser Richtlinieneinstellung können Sie die Replikation zwischen zwei AD DS-Domänencontrollern (Active Directory Domain Services) überwachen.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während der AD DS-Replikation ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen eine erfolgreiche Replikation auf, und Fehlerüberwachungen führen eine nicht erfolgreiche Replikation durch.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während der AD DS-Replikation kein Überwachungsereignis generiert.

Volume: Mittel auf Domänencontrollern. Keine auf Clientcomputern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Verzeichnisdienstreplikation überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff

ObjectAccess_AuditApplicationGenerated

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated

Mit dieser Richtlinieneinstellung können Sie Anwendungen überwachen, die Ereignisse mithilfe der Windows-Überwachung-APIs (Application Programming Interfaces) generieren. Anwendungen, die für die Verwendung der Windows-Überwachungs-API entwickelt wurden, verwenden diese Unterkategorie, um Überwachungsereignisse im Zusammenhang mit ihrer Funktion zu protokollieren. Zu den Ereignissen in dieser Unterkategorie gehören: Erstellen eines Anwendungsclientkontexts. Löschen eines Anwendungsclientkontexts. Initialisierung eines Anwendungsclientkontexts. Andere Anwendungsvorgänge, die die Windows-Überwachungs-APIs verwenden.

Volume: Hängt von den Anwendungen ab, die sie generieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Anwendung generiert überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditCentralAccessPolicyStaging

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging

Mit dieser Richtlinieneinstellung können Sie Zugriffsanforderungen überwachen, bei denen die von einer vorgeschlagenen Richtlinie gewährte oder verweigerte Berechtigung von der aktuellen zentralen Zugriffsrichtlinie für ein Objekt abweicht. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Benutzer auf ein Objekt zugreift, und die berechtigung, die von der aktuellen zentralen Zugriffsrichtlinie für das Objekt gewährt wird, unterscheidet sich von der Berechtigung, die von der vorgeschlagenen Richtlinie gewährt wird. Das resultierende Überwachungsereignis wird wie folgt generiert: 1) Erfolgsüberwachungen zeichnet bei der Konfiguration Zugriffsversuche auf, wenn die aktuelle zentrale Zugriffsrichtlinie Zugriff gewährt, aber die vorgeschlagene Richtlinie den Zugriff verweigert. 2) Fehlerüberwachungen bei konfigurierten Aufzeichnungsversuchen, wenn: a) Die aktuelle zentrale Zugriffsrichtlinie gewährt keinen Zugriff, aber die vorgeschlagene Richtlinie gewährt Zugriff. b) Ein Prinzipal fordert die maximal zulässigen Zugriffsrechte an, und die von der aktuellen zentralen Zugriffsrichtlinie gewährten Zugriffsrechte unterscheiden sich von den Zugriffsrechten, die von der vorgeschlagenen Richtlinie gewährt werden. Volumen: Potenziell hoch auf einem Dateiserver, wenn sich die vorgeschlagene Richtlinie erheblich von der aktuellen zentralen Zugriffsrichtlinie unterscheidet.

Volumen: Potenziell hoch auf einem Dateiserver, wenn sich die vorgeschlagene Richtlinie erheblich von der aktuellen zentralen Zugriffsrichtlinie unterscheidet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Staging zentraler Zugriffsrichtlinien überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditCertificationServices

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices

Mit dieser Richtlinieneinstellung können Sie Active Directory-Zertifikatdienste (AD CS)-Vorgänge überwachen. ZU DEN AD CS-Vorgängen gehören: AD CS-Start/-Herunterfahren/Sichern/Wiederherstellen. Änderungen an der Zertifikatsperrliste (Certificate Revocation List, CRL). Neue Zertifikatanforderungen. Ausstellung eines Zertifikats. Sperrung eines Zertifikats. Änderungen an den Zertifikat-Manager-Einstellungen für AD CS. Änderungen in der Konfiguration von AD CS. Änderungen an einer Zertifikatdienstvorlage. Importieren eines Zertifikats. Die Veröffentlichung eines Zertifizierungsstellenzertifikats erfolgt in Active Directory Domain Services. Änderungen an den Sicherheitsberechtigungen für AD CS. Archivierung eines Schlüssels. Importieren eines Schlüssels. Abrufen eines Schlüssels. Start des OCSP-Antwortdiensts (Online Certificate Status Protocol). Beenden des OCSP-Antwortdiensts (Online Certificate Status Protocol).

Volume: Mittel oder niedrig auf Computern, auf denen Active Directory-Zertifikatdienste ausgeführt werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Zertifizierungsdienste überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditDetailedFileShare

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare

Mit dieser Richtlinieneinstellung können Sie Versuche überwachen, auf Dateien und Ordner in einem freigegebenen Ordner zuzugreifen. Die Einstellung Detaillierte Dateifreigabe protokolliert jedes Mal, wenn auf eine Datei oder einen Ordner zugegriffen wird, ein Ereignis, während die Einstellung Dateifreigabe nur ein Ereignis für jede Verbindung erfasst, die zwischen einem Client und einer Dateifreigabe hergestellt wird. Detaillierte Dateifreigabeüberwachungsereignisse enthalten detaillierte Informationen zu den Berechtigungen oder anderen Kriterien, die zum Gewähren oder Verweigern des Zugriffs verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, auf eine Datei oder einen Ordner auf einer Freigabe zuzugreifen. Der Administrator kann angeben, ob nur Erfolge, nur Fehler oder sowohl Erfolge als auch Fehler überwacht werden sollen.

Hinweis

Es gibt keine Systemzugriffssteuerungslisten (SACLs) für freigegebene Ordner.

  • Wenn diese Richtlinieneinstellung aktiviert ist, wird der Zugriff auf alle freigegebenen Dateien und Ordner im System überwacht.

Volume: Hohe Auslastung auf einem Dateiserver oder Domänencontroller aufgrund des SYSVOL-Netzwerkzugriffs, der für die Gruppenrichtlinie erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Detaillierte Dateifreigabe überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditFileShare

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare

Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf einen freigegebenen Ordner überwachen.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, auf einen freigegebenen Ordner zuzugreifen, ein Überwachungsereignis generiert.

  • Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler oder sowohl Erfolge als auch Fehler überwacht werden sollen.

Hinweis

Es gibt keine Systemzugriffssteuerungslisten (SACLs) für freigegebene Ordner.

  • Wenn diese Richtlinieneinstellung aktiviert ist, wird der Zugriff auf alle freigegebenen Ordner im System überwacht.

Volume: Hohe Auslastung auf einem Dateiserver oder Domänencontroller aufgrund des SYSVOL-Netzwerkzugriffs, der für die Gruppenrichtlinie erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Dateifreigabe überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditFileSystem

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem

Mit dieser Richtlinieneinstellung können Sie Benutzerversuche für den Zugriff auf Dateisystemobjekte überwachen. Ein Sicherheitsüberwachungsereignis wird nur für Objekte generiert, für die SACL (System Access Control Lists) angegeben ist, und nur dann, wenn der angeforderte Zugriffstyp( z. B. Schreiben, Lesen oder Ändern) und das Konto, das die Anforderung sendet, mit den Einstellungen in der SACL übereinstimmt. Weitere Informationen zum Aktivieren der Objektzugriffsüberwachung finden Sie unter<https://go.microsoft.com/fwlink/?LinkId=122083> .

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt mit einer entsprechenden SACL zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt mit einer entsprechenden SACL zugreift.

Hinweis

Sie können eine SACL für ein Dateisystemobjekt festlegen, indem Sie die Registerkarte Sicherheit im Dialogfeld Eigenschaften dieses Objekts verwenden.

Volume: Hängt davon ab, wie die Dateisystem-SACLs konfiguriert sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Dateisystem überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditFilteringPlatformConnection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection

Mit dieser Richtlinieneinstellung können Sie Verbindungen überwachen, die von der Windows-Filterplattform (Windows Filtering Platform, WFP) zugelassen oder blockiert werden. Die folgenden Ereignisse sind enthalten: Der Windows-Firewalldienst blockiert, dass eine Anwendung eingehende Verbindungen im Netzwerk akzeptiert. Das WFP lässt eine Verbindung zu. Das WFP blockiert eine Verbindung. Das WFP lässt eine Bindung an einen lokalen Port zu. Das WFP blockiert eine Bindung an einen lokalen Port. Das WFP lässt eine Verbindung zu. Das WFP blockiert eine Verbindung. Das WFP ermöglicht es einer Anwendung oder einem Dienst, an einem Port auf eingehende Verbindungen zu lauschen. Das WFP blockiert eine Anwendung oder einen Dienst, um an einem Port auf eingehende Verbindungen zu lauschen.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn Verbindungen vom WFP zugelassen oder blockiert werden. Erfolgsüberwachungen von Datensatzereignissen, die generiert werden, wenn Verbindungen zulässig sind, und Fehlerüberwachungen Datensatzereignisse, die beim Blockieren von Verbindungen generiert werden.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn die Verbindung vom WFP zugelassen oder blockiert wird.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Filterplattformverbindung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditFilteringPlatformPacketDrop

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop

Mit dieser Richtlinieneinstellung können Sie Pakete überwachen, die von der Windows-Filterplattform (Windows Filtering Platform, WFP) gelöscht werden.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Filterplattform: Verworfene Pakete überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditHandleManipulation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird. Nur Objekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) generieren Sicherheitsüberwachungsereignisse.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Bearbeiten eines Handles ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Bearbeiten eines Handles kein Überwachungsereignis generiert.

Hinweis

Ereignisse in dieser Unterkategorie generieren Ereignisse nur für Objekttypen, bei denen die entsprechende Objektzugriffsunterkategorie aktiviert ist. Wenn beispielsweise der Zugriff auf Dateisystemobjekte aktiviert ist, werden Sicherheitsüberwachungsereignisse für die Verarbeitung von Manipulationen generiert. Wenn der Zugriff auf registry-Objekte nicht aktiviert ist, werden keine Sicherheitsüberwachungsereignisse für die Verarbeitung von Manipulationen generiert.

Volume: Hängt davon ab, wie SACLs konfiguriert werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Handleänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditKernelObject

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject

Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf den Kernel überwachen, einschließlich Mutexen und Semaphoren. Nur Kernelobjekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) generieren Sicherheitsüberwachungsereignisse.

Hinweis

Die Richtlinieneinstellung Audit: Überwachen des Zugriffs auf globale Systemobjekte steuert die Standard-SACL von Kernelobjekten.

Volume: Hoch, wenn die Überwachung des Zugriffs auf globale Systemobjekte aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Kernelobjekt überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditOtherObjectAccessEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch die Verwaltung von Aufgabenplanungsaufträgen oder COM+-Objekten generiert wurden. Für Planeraufträge werden folgende Überwacht: Auftrag erstellt. Auftrag wurde gelöscht. Auftrag aktiviert. Auftrag deaktiviert. Auftrag aktualisiert. Für COM+-Objekte wird Folgendes überwacht: Katalogobjekt hinzugefügt. Katalogobjekt aktualisiert. Das Katalogobjekt wurde gelöscht.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Andere Objektzugriffsereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditRegistry

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry

Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf Registrierungsobjekte überwachen. Ein Sicherheitsüberwachungsereignis wird nur für Objekte generiert, für die Systemzugriffssteuerungslisten (SACLs) angegeben sind, und nur dann, wenn die Art des angeforderten Zugriffs, z. B. Lesen, Schreiben oder Ändern, und das Konto, das die Anforderung erstellt, mit den Einstellungen in der SACL übereinstimmen.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Registrierungsobjekt mit einer entsprechenden SACL zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Registrierungsobjekt mit einer entsprechenden SACL zugreift.

Hinweis

Sie können eine SACL für ein Registrierungsobjekt mithilfe des Dialogfelds Berechtigungen festlegen.

Volume: Hängt davon ab, wie SACLs für die Registrierung konfiguriert sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Registrierung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditRemovableStorage

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage

Mit dieser Richtlinieneinstellung können Sie Benutzerversuche für den Zugriff auf Dateisystemobjekte auf einem Wechseldatenträger überwachen. Ein Sicherheitsüberwachungsereignis wird nur für alle Objekte für alle angeforderten Zugriffstypen generiert.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt in einem Wechselspeicher zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt in einem Wechselspeicher zugreift.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Wechselmedien überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

ObjectAccess_AuditSAM

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Zugriffsversuche auf SAM-Objekte (Security Accounts Manager) generiert werden. SAM-Objekte umfassen Folgendes: SAM_ALIAS -- Eine lokale Gruppe. SAM_GROUP : Eine Gruppe, die keine lokale Gruppe ist. SAM_USER: Ein Benutzerkonto. SAM_DOMAIN: Eine Domäne. SAM_SERVER: Ein Computerkonto.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, auf ein Kernelobjekt zuzugreifen. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, auf ein Kernelobjekt zuzugreifen, kein Überwachungsereignis generiert.

Hinweis

Nur die Systemzugriffssteuerungsliste (SACL) für SAM_SERVER kann geändert werden. Volume: Hohe Anzahl von Domänencontrollern.

Volume: Hohe Anzahl von Domänencontrollern. Weitere Informationen zum Reduzieren der Anzahl von Ereignissen, die durch die Überwachung des Zugriffs auf globale Systemobjekte generiert werden, finden Sie unter Überwachen des Zugriffs auf globale Systemobjekte.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name SAM überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff

PolicyChange_AuditAuthenticationPolicyChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Authentifizierungsrichtlinie generiert werden, z. B. die folgenden: Erstellung von Gesamtstruktur- und Domänenvertrauensstellungen. Änderung von Gesamtstruktur- und Domänenvertrauensstellungen. Entfernen von Gesamtstruktur- und Domänenvertrauensstellungen. Änderungen an der Kerberos-Richtlinie unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinie. Gewähren eines der folgenden Benutzerrechte für einen Benutzer oder eine Gruppe: Zugriff auf diesen Computer aus dem Netzwerk. Lokale Anmeldung zulassen. Anmeldung über Terminaldienste zulassen. Melden Sie sich als Batchauftrag an. Melden Sie einen Dienst an. Namespace Kollision. Beispiel: Eine neue Vertrauensstellung hat denselben Namen wie ein vorhandener Namespacename.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, die Authentifizierungsrichtlinie zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Ändern der Authentifizierungsrichtlinie kein Überwachungsereignis generiert.

Hinweis

Das Sicherheitsüberwachungsereignis wird protokolliert, wenn die Gruppenrichtlinie angewendet wird. Dies tritt nicht zu dem Zeitpunkt auf, zu dem die Einstellungen geändert werden.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Authentifizierungsrichtlinienänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PolicyChange_AuditAuthorizationPolicyChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Autorisierungsrichtlinie generiert werden, z. B. die folgenden: Zuweisung von Benutzerrechten (Berechtigungen), z. B. SeCreateTokenPrivilege, die nicht über die Unterkategorie "Änderung der Authentifizierungsrichtlinie" überwacht werden. Entfernen von Benutzerrechten (Berechtigungen), z. B. SeCreateTokenPrivilege, die nicht durch die Unterkategorie "Änderung der Authentifizierungsrichtlinie" überwacht werden. Änderungen in der EfS-Richtlinie (Encrypted File System). Änderungen an den Ressourcenattributen eines Objekts. Änderungen an der zentralen Zugriffsrichtlinie (Central Access Policy, CAP), die auf ein Objekt angewendet wird.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, die Autorisierungsrichtlinie zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich die Autorisierungsrichtlinie ändert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Autorisierungsrichtlinienänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PolicyChange_AuditFilteringPlatformPolicyChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Windows-Filterplattform (Windows Filtering Platform, WFP) generiert wurden, z. B. den folgenden: IPsec-Dienststatus. Änderungen an IPsec-Richtlinieneinstellungen. Änderungen an den Richtlinieneinstellungen der Windows-Firewall. Änderungen an WFP-Anbietern und -Engine.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, das WFP zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn eine Änderung am WFP auftritt.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Filterplattform-Richtlinienänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Änderungen an Richtlinienregeln generiert werden, die vom Microsoft Protection Service (MPSSVC) verwendet werden. Dieser Dienst wird von der Windows-Firewall verwendet. Zu den Ereignissen gehören: Berichterstellung aktiver Richtlinien beim Starten des Windows-Firewalldiensts. Änderungen an Windows-Firewallregeln. Änderungen an der Ausnahmeliste der Windows-Firewall. Änderungen an den Einstellungen der Windows-Firewall. Regeln, die vom Windows-Firewalldienst ignoriert oder nicht angewendet werden. Änderungen an den Gruppenrichtlinieneinstellungen der Windows-Firewall.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, indem versucht wird, von MPSSVC verwendete Richtlinienregeln zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird durch Änderungen an Richtlinienregeln, die von MPSSVC verwendet werden, kein Überwachungsereignis generiert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Richtlinienänderung auf MPSSVC-Regelebene überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PolicyChange_AuditOtherPolicyChangeEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von anderen Sicherheitsrichtlinienänderungen generiert werden, die nicht in der Kategorie "Richtlinienänderung" überwacht werden, z. B. die folgenden Änderungen: TPM-Konfigurationsänderungen (Trusted Platform Module). Kryptografische Selbsttests im Kernelmodus. Kryptografieanbietervorgänge. Kryptografische Kontextvorgänge oder -änderungen. Änderungen an angewendeten zentralen Zugriffsrichtlinien (CENTRAL Access Policies, CAPs). Änderungen an Startkonfigurationsdaten (BOOT Configuration Data, BCD).

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Andere Richtlinienänderungsereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PolicyChange_AuditPolicyChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange

Mit dieser Richtlinieneinstellung können Sie Änderungen an den Richtlinieneinstellungen für die Sicherheitsüberwachung überwachen, z. B. die folgenden: Einstellungsberechtigungen und Überwachungseinstellungen für das Überwachungsrichtlinienobjekt. Änderungen an der Systemüberwachungsrichtlinie. Registrierung von Sicherheitsereignisquellen. Aufheben der Registrierung von Sicherheitsereignisquellen. Änderungen an den Überwachungseinstellungen pro Benutzer. Ändert den Wert von CrashOnAuditFail. Änderungen an der Systemzugriffssteuerungsliste für ein Dateisystem- oder Registrierungsobjekt. Änderungen an der Liste "Spezielle Gruppen".

Hinweis

Die Änderungsüberwachung der Systemzugriffssteuerungsliste (SACL) wird durchgeführt, wenn sich eine SACL für ein Objekt ändert und die Kategorie der Richtlinienänderung aktiviert ist. DaCL(Discretionary Access Control List) und Besitzeränderungen werden überwacht, wenn die Objektzugriffsüberwachung aktiviert ist und die SACL des Objekts für die Überwachung der DACL/Besitzeränderung konfiguriert ist.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Richtlinienänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung

PrivilegeUse_AuditNonSensitivePrivilegeUse

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch die Verwendung nicht vertraulicher Berechtigungen (Benutzerrechte) generiert wurden. Die folgenden Berechtigungen sind nicht vertraulich: Access Credential Manager als vertrauenswürdiger Aufrufer. Greifen Sie über das Netzwerk auf diesen Computer zu. Fügen Sie Arbeitsstationen zur Domäne hinzu. Passen Sie die Speicherkontingente für einen Prozess an. Lokale Anmeldung zulassen. Anmeldung über Terminaldienste zulassen. Umgehen Sie die Traverse-Überprüfung. Ändern Sie die Systemzeit. Erstellen Sie eine Auslagerungsdatei. Erstellen sie globale Objekte. Erstellen sie permanent freigegebene Objekte. Erstellen sie symbolische Verknüpfungen. Verweigern Sie den Zugriff auf diesen Computer aus dem Netzwerk. Die Anmeldung als Batchauftrag verweigern. Verweigern der Anmeldung als Dienst. Lokale Anmeldung verweigern. Verweigern der Anmeldung über Terminaldienste. Erzwingen des Herunterfahrens von einem Remotesystem. Erhöhen eines Prozessarbeitssatzes. Erhöhen Sie die Planungspriorität. Sperren von Seiten im Arbeitsspeicher. Melden Sie sich als Batchauftrag an. Melden Sie sich als Dienst an. Ändern einer Objektbezeichnung. Ausführen von Volumewartungsaufgaben. Profilerstellung für einen einzelnen Prozess. Profilerstellung für die Systemleistung. Entfernen Sie den Computer aus der Dockingstation. Fahren Sie das System herunter. Synchronisieren von Verzeichnisdienstdaten.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn eine nicht sensible Berechtigung aufgerufen wird. Erfolgreiche Überwachungen zeichnen erfolgreiche Aufrufe auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Aufrufe auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Aufrufen einer nicht vertraulichen Berechtigung kein Überwachungsereignis generiert.

Volumen: Sehr hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Nicht sensible Verwendung von Rechten überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung

PrivilegeUse_AuditOtherPrivilegeUseEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents

Nicht verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Andere Rechteverwendungsereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung

PrivilegeUse_AuditSensitivePrivilegeUse

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn vertrauliche Berechtigungen (Benutzerrechte) verwendet werden, z. B.: Ein privilegierter Dienst wird aufgerufen. Eine der folgenden Berechtigungen wird aufgerufen: Als Teil des Betriebssystems fungieren. Sichern von Dateien und Verzeichnissen. Erstellen Sie ein Tokenobjekt. Debuggen von Programmen. Aktivieren Sie Computer- und Benutzerkonten für die Delegierung als vertrauenswürdig. Generieren von Sicherheitsüberwachungen. Annehmen der Identität eines Clients nach der Authentifizierung. Laden und Entladen von Gerätetreibern. Verwalten von Überwachungs- und Sicherheitsprotokollen. Ändern Sie die Werte der Firmwareumgebung. Ersetzen Sie ein Token auf Prozessebene. Stellen Sie Dateien und Verzeichnisse wieder her. Übernehmen Sie den Besitz von Dateien oder anderen Objekten.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn vertrauliche Berechtigungsanforderungen gestellt werden. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn vertrauliche Berechtigungsanforderungen gestellt werden.

Volumen: Hoch.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Sensible Verwendung von Rechten überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung

System_AuditIPsecDriver

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom IPsec-Filtertreiber generiert werden, z. B. die folgenden: Starten und Herunterfahren der IPsec-Dienste. Netzwerkpakete wurden aufgrund eines Integritätsprüfungsfehlers verworfen. Netzwerkpakete, die aufgrund eines Wiederholungsprüfungsfehlers verworfen wurden. Netzwerkpakete, die aufgrund von Klartext verworfen wurden. Netzwerkpakete, die mit falschem Sicherheitsparameterindex (SPI) empfangen werden. Dies kann darauf hindeuten, dass entweder die Netzwerkkarte nicht ordnungsgemäß funktioniert oder der Treiber aktualisiert werden muss. Unfähigkeit, IPsec-Filter zu verarbeiten.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis für einen IPsec-Filtertreibervorgang generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird für einen IPSec-Filtertreibervorgang kein Überwachungsereignis generiert.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name IPsec-Treiber überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem >

System_AuditOtherSystemEvents

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents

Mit dieser Richtlinieneinstellung können Sie jedes der folgenden Ereignisse überwachen: Starten und Herunterfahren des Windows-Firewalldiensts und -Treibers. Verarbeitung von Sicherheitsrichtlinien durch den Windows-Firewalldienst. Kryptografieschlüsseldatei und Migrationsvorgänge.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 (Standard) Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Andere Systemereignisse überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem >

System_AuditSecurityStateChange

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen des Sicherheitsstatus des Computers generiert werden, z. B. die folgenden Ereignisse: Starten und Herunterfahren des Computers. Änderung der Systemzeit. Wiederherstellung des Systems aus CrashOnAuditFail, das nach dem Neustart eines Systems protokolliert wird, wenn das Sicherheitsereignisprotokoll voll ist und der Registrierungseintrag CrashOnAuditFail konfiguriert ist.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 (Standard) Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Sicherheitsstatusänderung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem >

System_AuditSecuritySystemExtension

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die sich auf Sicherheitssystemerweiterungen oder -dienste beziehen, z. B. die folgenden: Eine Sicherheitssystemerweiterung, z. B. eine Authentifizierung, Benachrichtigung oder ein Sicherheitspaket, wird geladen und bei der lokalen Sicherheitsautorität (Local Security Authority, LSA) registriert. Es wird verwendet, um Anmeldeversuche zu authentifizieren, Anmeldeanforderungen zu übermitteln und um Konto- oder Kennwortänderungen zu ändern. Beispiele für Sicherheitssystemerweiterungen sind Kerberos und NTLM. Ein Dienst wird installiert und beim Dienststeuerungs-Manager registriert. Das Überwachungsprotokoll enthält Informationen zu Dienstname, Binärdatei, Typ, Starttyp und Dienstkonto.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, eine Sicherheitssystemerweiterung zu laden, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, eine Sicherheitssystemerweiterung zu laden, kein Überwachungsereignis generiert.

Volumen: Niedrig. Sicherheitssystemerweiterungsereignisse werden häufiger auf einem Domänencontroller als auf Clientcomputern oder Mitgliedsservern generiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Sicherheitssystemerweiterung überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem >

System_AuditSystemIntegrity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1803 mit KB4516045 [10.0.17134.1039] und höher
✅ Windows 10, Version 1809 mit KB4516077 [10.0.17763.774] und höher
✅ Windows 10, Version 1903 mit KB4512941 [10.0.18362.329] und höher
✅ Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity

Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die die Integrität des Sicherheitssubsystems verletzen, z. B.: Ereignisse, die aufgrund eines Problems mit dem Überwachungssystem nicht in das Ereignisprotokoll geschrieben werden konnten. Ein Prozess, der einen LPC-Port (Local Procedure Call) verwendet, der nicht gültig ist, um die Identität eines Clients durch Antworten, Lesen oder Schreiben in oder aus einem Clientadressraum zu annehmen. Die Erkennung eines Remoteprozeduraufrufs (RPC), der die Systemintegrität gefährdet. Die Erkennung eines Hashwerts einer ausführbaren Datei, die aufgrund der Codeintegrität ungültig ist. Kryptografische Vorgänge, die die Systemintegrität gefährden.

Volumen: Niedrig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
0 Aus/Keine.
1 Erfolgreich.
2 Versagen.
3 (Standard) Erfolg+Fehler.

Gruppenrichtlinienzuordnung:

Name Wert
Name Systemintegrität überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem >

Dienstanbieter für die Richtlinienkonfiguration