Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Windows-Überwachungsrichtlinieneinstellungen und die grundlegenden und erweiterten Empfehlungen von Microsoft für Arbeitsstationen und Server behandelt. Es bietet Anleitungen, die Administratoren bei der Auswahl geeigneter Überwachungsrichtlinien unterstützen, die auf den Anforderungen ihrer Organisation basieren.
Die hier gezeigten Basisempfehlungen für den Security Compliance Manager (SCM) sowie die empfohlenen Einstellungen zur Unterstützung der Erkennung von Systemkompromittierungen dienen ausschließlich als Ausgangspunkt und Leitfaden für Administratoren. Jede Organisation muss ihre eigenen Entscheidungen bezüglich der Bedrohungen, denen sie ausgesetzt sind, ihren akzeptablen Risikotoleranzen und der Überwachungsrichtlinienkategorien oder Unterkategorien, die sie aktivieren sollten, treffen. Administratoren ohne eine durchdachte Überwachungsrichtlinie werden empfohlen, mit den hier empfohlenen Einstellungen zu beginnen und dann vor der Implementierung in ihrer Produktionsumgebung zu ändern und zu testen.
Die Empfehlungen gelten für Computer der Unternehmensklasse, laut Definition von Microsoft also Computer mit durchschnittlichen Sicherheitsanforderungen und einem hohen Maß an erforderlicher Betriebsfunktionalität. Entitäten mit höheren Sicherheitsanforderungen sollten aggressivere Überwachungsrichtlinien in Betracht ziehen.
Die folgenden grundlegenden Überwachungsrichtlinien-Einstellungen werden für Computer mit normaler Sicherheitsstufe empfohlen, die nicht bekannt dafür sind, dass sie aktiven, erfolgreichen Angriffen durch entschlossene Gegner oder Schadsoftware ausgesetzt sind.
Empfohlene Systemüberwachungsrichtlinie nach Betriebssystem
Dieser Abschnitt enthält Tabellen, in denen die Empfehlungen für Überwachungseinstellungen aufgeführt werden, die für das Windows-Betriebssystem (Betriebssystem) sowohl für den Client als auch für den Server gelten.
Legende zur System-Auditrichtlinien-Tabelle
| Notation | Empfehlung |
|---|---|
| Ja | In generellen Szenarien aktivieren |
| Nein | In allgemeinen Szenarien nicht aktivieren |
| Wenn | Bei Bedarf für ein bestimmtes Szenario aktivieren, oder wenn auf dem Computer Rollen oder ein Features installiert sind, für die die Überwachung gewünscht wird |
| SL | Auf Domänencontrollern aktivieren |
| [leer] | Keine Empfehlung |
Diese Tabellen enthalten die Windows-Standardeinstellung, die Basisempfehlungen und stärkere Empfehlungen für die Betriebssystemplattform, die Sie ausführen.
- Windows-Client
- Windows Server
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Kontoanmeldung | |||
| Überprüfen der Anmeldeinformationen überwachen | No | No |
Yes | No |
Yes | Yes |
| Kerberos-Authentifizierungsdienst überwachen | Yes | Yes |
||
| Ticketvorgänge des Kerberos-Diensts überwachen | Yes | Yes |
||
| Andere Kontoanmeldungsereignisse überwachen | Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Kontoverwaltung | |||
| Anwendung von Gruppenmanagement prüfen | |||
| Computer-Kontoverwaltung prüfen | Yes | No |
Yes | Yes |
|
| Verteilergruppenverwaltung überwachen | |||
| Andere Kontoverwaltungsereignisse überwachen | Yes | No |
Yes | Yes |
|
| Sicherheitsgruppenverwaltung überwachen | Yes | No |
Yes | Yes |
|
| Benutzerkontenverwaltung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Detaillierte Überwachung | |||
| DPAPI-Aktivität überwachen | Yes | Yes |
||
| Prozesserstellung überwachen | Yes | No |
Yes | Yes |
|
| Beendigung des Auditprozesses | |||
| RPC-Ereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| DS-Zugriff | |||
| Detaillierte Verzeichnisdienstreplikation überwachen | |||
| Verzeichnisdienstzugriff überwachen | |||
| Verzeichnisdienständerungen überwachen | |||
| Verzeichnisdienstreplikation überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Anmelden und Abmelden | |||
| Kontosperrung überwachen | Yes | No |
Yes | No |
|
| Benutzer-/Geräteansprüche überwachen | |||
| IPsec-Erweiterungsmodus überwachen | |||
| IPsec-Hauptmodus überwachen | IF | IF |
||
| IPsec-Schnellmodus überwachen | |||
| Abmelden überwachen | Yes | No |
Yes | No |
Yes | No |
| Anmelden überwachen 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Netzwerk-Richtlinienserver prüfen | Yes | Yes |
||
| Andere Anmelde-/Abmeldeereignisse überwachen | |||
| Spezielle Anmeldung überwachen | Yes | No |
Yes | No |
Yes | Yes |
1 Ab Windows 10, Version 1809, ist „Anmeldung überwachen“ für „Erfolg“ und „Fehler“ standardmäßig aktiviert. In früheren Versionen von Windows ist standardmäßig nur „Erfolg“ aktiviert.
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Objektzugriff | |||
| Audit-Anwendung erstellt | |||
| Audit-Zertifizierungsdienste | |||
| Detaillierte Dateifreigabe überwachen | |||
| Dateifreigabe überwachen | |||
| Dateisystem überwachen | |||
| Filterplattformverbindung überwachen | |||
| Verworfene Filterplattformpakete überwachen | |||
| Handleänderung überwachen | |||
| Kernelobjekt überwachen | |||
| Andere Objektzugriffsereignisse überwachen | |||
| Prüfregister | |||
| Wechselmedien überwachen | |||
| SAM überwachen | |||
| Staging zentraler Zugriffsrichtlinien überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Richtlinienänderung | |||
| Überwachungsrichtlinienänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Authentifizierungsrichtlinienänderung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Autorisierungsrichtlinienänderung überwachen | |||
| Richtlinienänderung für Filterplattform überwachen | |||
| MPSSVC-Richtlinienänderung auf Regelebene überwachen | Yes |
||
| Andere Richtlinienänderungsereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Nutzung von Berechtigungen | |||
| Nicht sensible Verwendung von Rechten überwachen | |||
| Andere Rechteverwendungsereignisse überwachen | |||
| Überprüfung der Verwendung sensibler Privilegien |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| System | |||
| IPsec-Treiber überwachen | Yes | Yes |
Yes | Yes |
|
| Andere Systemereignisse überwachen | Yes | Yes |
||
| Sicherheitsstatusänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Sicherheitssystemerweiterung überwachen | Yes | Yes |
Yes | Yes |
|
| Systemintegrität prüfen | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)Success | Failure |
GrundempfehlungSuccess | Failure |
Stärkere EmpfehlungSuccess | Failure |
|---|---|---|---|
| Globale Objektzugriffsüberwachung | |||
| IPsec-Treiber überwachen | |||
| Andere Systemereignisse überwachen | |||
| Sicherheitsstatusänderung überwachen | |||
| Sicherheitssystemerweiterung überwachen | |||
| Systemintegrität prüfen |
Festlegen der Überwachungsrichtlinie auf Arbeitsstationen und Servern
Die effektive Ereignisprotokollverwaltung erfordert die Überwachung von Arbeitsstationen und Servern. Die ausschließliche Konzentration auf Server oder Domänencontroller (DC) ist ein häufiger Fehler, da anfängliche Anzeichen bösartiger Aktivitäten häufig auf Arbeitsstationen auftreten. Indem Sie Arbeitsstationen in Ihre Überwachungsstrategie einbeziehen, erhalten Sie Zugang zu kritischen Frühindikatoren der Kompromittierung.
Bevor Sie eine Überwachungsrichtlinie in einer Produktionsumgebung bereitstellen, sollten Administratoren die Richtlinie sorgfältig überprüfen, testen und überprüfen, um sicherzustellen, dass sie die Sicherheits- und Betriebsanforderungen der Organisation erfüllt.
Zu überwachende Ereignisse
Eine perfekte Ereignis-ID zum Generieren einer Sicherheitswarnung sollte die folgenden Attribute enthalten:
Hohe Wahrscheinlichkeit, dass das Auftreten auf unbefugte Aktivitäten hinweist
Geringe Anzahl an falsch positiven Ergebnissen
Das Auftreten sollte zu einer (forensischen) Untersuchung führen
Zwei Arten von Ereignissen sollten überwacht werden und zu Warnungen führen:
Ereignisse, bei denen ein Vorkommen ein starker Indikator für nicht autorisierte oder verdächtige Aktivitäten ist.
Eine Ansammlung von Ereignissen über einer erwarteten und akzeptierten Grundlage.
Beispiel für diesen ersten Ereignistyp:
Wenn Domänenadministratoren nicht berechtigt sind, sich bei computern anzumelden, die keine DCs sind, sollte ein einzelnes Vorkommen einer Domänenadministratormitgliedsanmeldung bei einer Endbenutzerarbeitsstation eine Warnung generieren und untersucht werden. Diese Art von Warnung lässt sich einfach erzeugen, indem Sie das Audit-Spezialanmeldeereignis 4964 verwenden (Bestimmte Gruppen wurden einem neuen Anmeldevorgang zugewiesen). Weitere Beispiele für Warnungen bei einer einzelnen Instanz sind:
Wenn Server A niemals eine Verbindung mit Server B herstellen sollte, benachrichtigen Sie, wenn sie eine Verbindung zueinander herstellen.
Warnung, wenn ein Standardbenutzerkonto unerwartet einer privilegierten oder vertraulichen Sicherheitsgruppe hinzugefügt wird.
Wenn Mitarbeiter am Werksstandort A niemals nachts arbeiten, benachrichtigen Sie, wenn sich ein Benutzer nachts anmeldet.
Warnung, wenn ein nicht autorisierter Dienst auf einem DC installiert ist.
Untersuchen Sie, ob ein normaler Endbenutzer versucht, sich direkt bei einem SQL Server anzumelden, für den er keinen eindeutigen Grund dafür hat.
Wenn Sie keine Mitglieder in Ihrer Gruppe "Domänenadministrator" haben und sich dort jemand selbst hinzufügt, überprüfen Sie es sofort.
Beispiel für diesen zweiten Ereignistyp:
Eine hohe Anzahl fehlgeschlagener Anmeldeversuche könnte einen Kennwortratenangriff signalisieren. Um dies zu erkennen, sollten Organisationen zuerst ermitteln, was eine normale Rate von fehlgeschlagenen Anmeldungen in ihrer Umgebung ist. Dann können Warnungen ausgelöst werden, wenn dieser Basisplan überschritten wird.
Eine umfassende Liste der Ereignisse, die Sie bei der Überwachung auf Gefährdungszeichen einschließen sollten, finden Sie in Anhang L: Ereignisse zum Überwachen.
Active Directory-Objekte und -Attribute, die überwacht werden sollen
Im Folgenden finden Sie die Konten, Gruppen und Attribute, die Sie überwachen sollten, um Versuche zu erkennen, ihre Active Directory Domain Services-Installation zu kompromittieren.
Systeme zum Deaktivieren oder Entfernen von Antiviren- und Antischadsoftware (automatischer Neustartschutz, wenn er manuell deaktiviert wird)
Administratorkonten für nicht autorisierte Änderungen
Aktivitäten, die mit privilegierten Konten ausgeführt werden (Konto automatisch entfernen, wenn verdächtige Aktivitäten abgeschlossen oder die zugewiesene Zeit abgelaufen sind)
Konten mit Berechtigungen und VIP-Konten in AD DS. Überwachen von Änderungen an Attributen auf der Registerkarte "Konto", z. B.:
cn
Name
sAMAccountName
Benutzerprinzipalname
Benutzerkontensteuerung
Beschränken Sie zusätzlich zur Überwachung der Konten, wer die Konten ändern darf, auf eine möglichst kleine Gruppe von Administratorbenutzern. Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.
Gruppieren Sie Server nach der Klassifizierung ihrer Workloads. So können Sie schnell die Server identifizieren, die am stärksten überwacht und besonders streng konfiguriert werden sollten.
Änderungen an den Eigenschaften und der Mitgliedschaft der folgenden AD DS-Gruppen:
Administratoren
Domänenadministratoren
Organisationsadministratoren
Schema-Administratoren
Deaktivierte Konten mit Berechtigungen (z. B. integrierte Administratorkonten in Active Directory und auf Mitgliedssystemen) zum Aktivieren der Konten
Verwaltungskonten zum Protokollieren aller Schreibvorgänge in das Konto
Integrierter Sicherheitskonfigurations-Assistent zum Konfigurieren von Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen, um die Angriffsfläche des Servers zu verringern. Verwenden Sie diesen Assistenten, wenn Sie Jumpserver als Teil Ihrer Verwaltungshoststrategie implementieren.
Zusätzliche Informationen zur Überwachung von AD DS
Weitere Informationen zur Überwachung von AD DS finden Sie unter den folgenden Links:
Global Object Access Auditing is Magic (Globale Objektzugriffsüberwachung ist ein Wunder)
Introducing Auditing Changes in Windows 2008 (Einführung in die Überwachung von Änderungen in Windows 2008)
Cool Auditing Tricks in Vista and 2008 (Originelle Tricks zur Überwachung in Vista und 2008)
One-Stop Shop for Auditing in Windows Server 2008 and Windows Vista (Zentrale Anlaufstelle für die Überwachung in Windows Server 2008 und Windows Vista)
AD DS Auditing Step-by-Step Guide (Schrittweise Anleitung zur AD DS-Überwachung)
Kritikalitäten von Empfehlungen zur Sicherheitsereignis-ID
Alle Empfehlungen zur Ereignis-ID werden wie folgt von einer Kritikalitätsbewertung begleitet:
| Bewertung | BESCHREIBUNG |
|---|---|
| Hoch | Ereignis-IDs mit einer hohen kritischen Bewertung müssen stets und umgehend gemeldet und untersucht werden. |
| Mittel | Eine Ereignis-ID mit mittlerer Kritikalität könnte auf schädliche Aktivitäten hinweisen, muss jedoch von einer weiteren Anomalie begleitet werden. Ein Beispiel könnte eine ungewöhnliche Zahl sein, die in einem bestimmten Zeitraum auftritt, unerwartete Vorkommnisse oder Vorkommnisse auf einem Computer, die normalerweise nicht erwartet würden, das Ereignis zu protokollieren. Ein mittelkritisches Ereignis kann auch als Metrik erfasst und dann über Zeit hinweg verglichen werden. |
| Niedrig | Eine Ereignis-ID mit Ereignissen von geringer Kritikalität sollte keine Aufmerksamkeit erregen oder Warnungen auslösen, es sei denn, sie sind mit Ereignissen von mittlerer oder hoher Kritikalität korreliert. |
Diese Empfehlungen sollen einen Basisleitfaden für einen Administrator bereitstellen. Alle Empfehlungen sollten gründlich überprüft werden, bevor sie in einer Produktionsumgebung implementiert werden.