Anhang 3: Aktivieren der Codeintegritäts-Ereignisprotokollierung und Systemüberwachung

Aktivieren der Codeintegritätsereignisprotokollierung und Systemüberwachung

Auszug aus der Codeintegritätsereignisprotokollierung und Systemüberwachung:

Codeintegrität ist die Kernelmoduskomponente, die die Überprüfung der Treibersignatur implementiert. Es generiert Systemereignisse, die mit der Bildüberprüfung zusammenhängen, und protokolliert die Informationen im Codeintegritätsprotokoll:

  • In der Betriebsprotokollansicht "Codeintegrität" werden nur Fehlerereignisse der Bildüberprüfung angezeigt.

  • In der ausführlichen Protokollansicht "Codeintegrität" werden die Ereignisse für erfolgreiche Signaturüberprüfungen angezeigt.

Das folgende Verfahren zeigt, wie Sie die ausführliche Ereignisprotokollierung der Codeintegrität aktivieren, um alle erfolgreichen Imageüberprüfungsereignisse des Betriebssystemladeers und Kernelmodus anzuzeigen:

So aktivieren Sie die ausführliche Ereignisprotokollierung der Codeintegrität

Auszug aus dem Aktivieren des Systemereignisüberwachungsprotokolls:

Führen Sie zum Aktivieren der ausführlichen Protokollierung die folgenden Schritte aus:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

  2. Führen Sie Eventvwr.exe über die Befehlszeile aus.

  3. Erweitern Sie unter dem Ordner Ereignisanzeige im linken Bereich der Ereignisanzeige die Unterordner in der folgenden Sequenz:

    1. Anwendungs- und Dienstprotokolle

    2. Microsoft

    3. Windows

  4. Erweitern Sie den Unterordner Codeintegrität im Ordner Windows, um das zugehörige Kontextmenü anzuzeigen.

  5. Wählen Sie Ansicht aus.

  6. Wählen Sie Analyse- und Debugprotokolle anzeigen aus. Die Ereignisanzeige zeigt dann eine Unterstruktur an mit einem Ordner In Betrieb und einem Ordner Ausführlich.

  7. Klicken Sie mit der rechten Maustaste auf "Ausführlich ", und wählen Sie dann im Popupkontextmenü "Eigenschaften" aus.

  8. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte Allgemein aus, und wählen Sie dann etwa in der Mitte der Eigenschaftenseite die Option Protokollierung aktivieren aus. Dadurch wird ausführliche Protokollierung aktiviert.

  9. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Systemereignisdatensätze können auch aktiviert werden, einschließlich Fehlerereignisse der Codeintegritäts-Imageüberprüfung. Diese Ereignisse werden generiert, wenn der Windows-Kernel aufgrund eines Signaturfehlers einen Treiber nicht laden kann. Ähnliche Ereignisse werden auch in der Betriebsprotokollansicht "Codeintegrität" aufgezeichnet.

So aktivieren Sie die Überwachungsrichtlinie zum Generieren von Überwachungsereignissen in der Systemkategorie für fehlgeschlagene Vorgänge

Führen Sie die folgenden Schritte aus, um die Sicherheitsüberwachungsrichtlinien zum Erfassen von Ladefehlern in den Überwachungsprotokollen zu aktivieren:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen, erstellen Sie eine Desktopverknüpfung zum Cmd.exe, klicken Sie mit der rechten Maustaste auf die Cmd.exe Verknüpfung, und wählen Sie "Als Administrator ausführen" aus.

  2. Führen Sie im Eingabeaufforderungsfenster mit erhöhten Rechten den folgenden Befehl aus:

    Auditpol /set /Category:System /failure:enable

  3. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Der folgende Screenshot zeigt, wie Sie Auditpol verwenden, um die Sicherheitsüberwachung zu aktivieren.

Screenshot des Eingabeaufforderungsfensters, der die Verwendung von Auditpol zur Aktivierung der Sicherheitsüberwachung veranschaulicht.

  • Last updated on