Überwachen von Active Directory auf Anzeichen für einen Kompromiss

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Gesetz Nummer fünf: Ewige Wachsamkeit ist der Preis der Sicherheit. - 10 unumstößliche Gesetze der Sicherheitsverwaltung

Ein solides System zur Ereignisprotokollüberwachung ist ein wesentlicher Bestandteil jedes sicheren Active Directory-Designs. Viele Kompromittierungen der Computersicherheit könnten frühzeitig entdeckt werden, wenn die Zielpersonen eine angemessene Überwachung der Ereignisprotokolle und Alarmierung durchführen würden. Unabhängige Berichte unterstützen diese Schlussfolgerung seit langem. Im Verizon Data Breach Report 2009 heißt es beispielsweise:

„Die scheinbare Unwirksamkeit von Ereignisüberwachung und Protokollanalyse ist nach wie vor ein Rätsel. Die Möglichkeit zur Erkennung besteht; Die Ermittler stellten fest, dass 66 Prozent der Opfer in ihren Protokollen genügend Beweise zur Verfügung hatten, um die Sicherheitsverletzung zu entdecken, wenn sie solche Ressourcen sorgfältiger analysiert hätten.

Die fehlende Überwachung aktiver Ereignisprotokolle bleibt ein beständiger Schwachpunkt in den Sicherheitsschutzplänen vieler Unternehmen. Der Verizon Data Breach-Bericht aus dem Jahr 2012 ergab, dass 85 Prozent der Verstöße zwar mehrere Wochen dauerten, bis sie bemerkt wurden, aber 84 Prozent der Opfer in ihren Ereignisprotokollen Beweise für die Verletzung hatten.

Windows-Überwachungsrichtlinie

Im Folgenden sind Links zum offiziellen Microsoft-Blog für den Unternehmenssupport aufgeführt. Der Inhalt dieser Blogs enthält Ratschläge, Anleitungen und Empfehlungen zur Überwachung, die Sie bei der Verbesserung der Sicherheit Ihrer Active Directory-Infrastruktur unterstützen und eine wertvolle Ressource beim Entwerfen einer Überwachungsrichtlinie sind.

• Globale Objektzugriffsüberwachung ist magic : Beschreibt einen Steuerungsmechanismus namens Erweiterte Überwachungsrichtlinienkonfiguration, der Zu Windows 7 und Windows Server 2008 R2 hinzugefügt wurde und mit dem Sie festlegen können, welche Datentypen Sie problemlos überwachen möchten, ohne Skripts und auditpol.exe jonglieren zu müssen.
• Einführung in die Überwachung von Änderungen in Windows 2008: Führt die Überwachung der in Windows 2008 vorgenommenen Änderungen ein.
• Coole Überwachungstricks in Vista und 2008: Erläutert interessante neue Features der Überwachung in Windows Vista und Windows Server 2008, die zur Problembehandlung oder zum Anzeigen von Vorgängen in Ihrer Umgebung verwendet werden können.
• Überwachung aus einer Hand in Windows Server 2008 und Windows Vista: Enthält eine Zusammenstellung der in Windows Server 2008 und Windows Vista verfügbaren Überwachungsfeatures und -informationen.

Die folgenden Links enthalten Informationen zu Verbesserungen der Windows-Überwachung in Windows 8 und Windows Server 2012 sowie Informationen zur AD DS-Überwachung in Windows Server 2008.

• Neuerungen in der Sicherheitsüberwachung: Bietet eine Übersicht über die neuen Sicherheitsüberwachungsfeatures in Windows 8 und Windows Server 2012.
• Schritt-für-Schritt-Anleitung zur AD DS-Überwachung: Beschreibt das neue Überwachungsfeature für Active Directory Domain Services (AD DS) in Windows Server 2008. Außerdem werden Verfahren zum Implementieren dieses neuen Features bereitgestellt.

Windows-Überwachungskategorien

Vor Windows Vista und Windows Server 2008 hatte Windows nur neun Überwachungsrichtlinienkategorien für Ereignisprotokolle:

• Kontoanmeldungsereignisse
• Kontoverwaltung
• Zugang zum Verzeichnisdienst
• Anmeldeereignisse
• Objektzugriff
• Richtlinienänderung
• Berechtigungen
• Prozessverfolgung
• System-Ereignisse

Diese neun traditionellen Prüfungskategorien bilden eine Prüfungspolitik. Jede Prüfungsrichtlinienkategorie kann für Erfolg, Misserfolg oder Erfolgs- und Misserfolgsereignisse aktiviert werden. Ihre Beschreibungen sind im nächsten Abschnitt enthalten.

Beschreibungen zu Überwachungsrichtlinienkategorien

Die Überwachungsrichtlinienkategorien ermöglichen die folgenden Ereignisprotokollmeldungstypen.

Kontoanmeldungsereignisse überwachen

Überwachungskontoanmeldungsereignisse melden jede Instanz eines Sicherheitsprinzipals (z. B. Benutzer-, Computer- oder Dienstkonto), der sich bei einem Computer anmeldet oder sich von diesem abmeldet, wenn ein anderer Computer zum Überprüfen des Kontos verwendet wird. Kontoanmeldungsereignisse werden generiert, wenn ein Domänenbenutzerkonto auf einem Domänencontroller authentifiziert wird. Die Authentifizierung eines lokalen Benutzers auf einem lokalen Computer erzeugt ein Anmeldeereignis, das im lokalen Sicherheitsprotokoll protokolliert wird. Es werden keine Kontoabmeldeereignisse protokolliert.

Diese Kategorie erzeugt viel „Rauschen“, da Windows ständig Konten hat, die sich während des normalen Geschäftsverlaufs an den lokalen und Remotecomputern anmelden. Trotz dieser Unannehmlichkeiten sollte jeder Sicherheitsplan den Erfolg und Misserfolg dieser Überwachungskategorie enthalten.

Kontenverwaltung überwachen

Diese Überwachungseinstellung bestimmt, ob die Verwaltung von Benutzern und Gruppen nachverfolgt werden soll. Beispielsweise sollten Benutzer und Gruppen nachverfolgt werden, wenn ein Benutzer- oder Computerkonto, eine Sicherheitsgruppe oder eine Verteilergruppe erstellt, geändert oder gelöscht wird. Benutzer und Gruppen sollten auch nachverfolgt werden, wenn ein Benutzer- oder Computerkonto umbenannt, deaktiviert oder aktiviert ist und wenn ein Benutzer- oder Computerkennwort geändert wird. Ein Ereignis kann für Benutzer oder Gruppen generiert werden, die anderen Gruppen hinzugefügt oder aus diesen entfernt werden.

Verzeichnisdienstzugriff überwachen

Diese Richtlinieneinstellung bestimmt, ob der Sicherheitsprinzipalzugriff auf ein Active Directory-Objekt überwacht werden soll, das über eine eigene angegebene Systemzugriffssteuerungsliste (System Access Control List, SACL) verfügt. Im Allgemeinen sollte diese Kategorie nur auf Domänencontrollern aktiviert werden. Diese Einstellung erzeugt viel „Rauschen“, wenn sie aktiviert ist.

Anmeldeereignisse überwachen

Anmeldeereignisse werden generiert, wenn ein lokaler Benutzer auf einem lokalen Computer authentifiziert wird. Anmeldeereignisse zeichnet Domänenanmeldungen auf, die auf dem lokalen Computer auftreten. Kontoabmeldeereignisse werden nicht generiert. Wenn dies aktiviert ist, erzeugen Anmeldeereignisse viel „Rauschen“, aber diese Richtlinie sollte trotzdem standardmäßig in jedem Sicherheitsüberwachungsplan aktiviert sein.

Objektzugriffsversuche überwachen

Objektzugriff kann Ereignisse generieren, wenn anschließend definierte Objekte mit aktivierter Überwachung zugegriffen werden (z. B. Geöffnet, Lesen, Umbenannt, Gelöscht oder Geschlossen). Nachdem die Hauptüberwachungskategorie aktiviert wurde, muss der Administrator einzeln definieren, für welche Objekte die Überwachung aktiviert ist. Bei vielen Windows-Systemobjekten ist die Überwachung aktiviert, sodass die Aktivierung dieser Kategorie in der Regel ereignisse generiert, bevor der Administrator eines definiert hat.

Diese Kategorie ist sehr „verrauscht“ und generiert fünf bis 10 Ereignisse für jeden Objektzugriff. Für Administratoren, die mit der Objektüberwachung Neuland betreten, kann es schwierig sein, nützliche Informationen zu erhalten. Sie sollte nur bei Bedarf aktiviert werden.

Änderung der Überwachungsrichtlinie

Diese Richtlinieneinstellung legt fest, ob jedes Auftreten einer Änderung an Richtlinien zur Zuweisung von Benutzerrechten, Windows Firewall-Richtlinien, Vertrauensrichtlinien oder Änderungen an der Prüfrichtlinie geprüft werden soll. Diese Kategorie sollte auf allen Computern aktiviert sein. Sie erzeugt sehr wenig „Rauschen“.

Rechteverwendung überwachen

Es gibt Dutzende von Benutzerrechten und Berechtigungen in Windows (z. B. Anmeldung als Batchauftrag und Als Teil des Betriebssystems handeln). Diese Richtlinieneinstellung bestimmt, ob jede Instanz eines Sicherheitsprinzipals überwacht werden soll, indem ein Benutzerrecht oder eine Berechtigung ausgeübt wird. Das Aktivieren dieser Kategorie führt zu viel „Rauschen“, kann jedoch hilfreich sein, um Sicherheitsprinzipalkonten mit erhöhten Rechten zu verfolgen.

Prozessverfolgung überwachen

Diese Richtlinieneinstellung bestimmt, ob detaillierte Nachverfolgungsinformationen für Ereignisse überwacht werden sollen, z. B. Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff. Sie ist nützlich, um böswillige Benutzer und die von ihnen verwendeten Programme zu verfolgen.

Durch aktivieren der Überwachungsprozessnachverfolgung wird eine große Anzahl von Ereignissen generiert, sodass sie in der Regel auf Keine Überwachung festgelegt ist. Diese Einstellung kann jedoch einen großen Vorteil während einer Incidentantwort aus dem detaillierten Protokoll der gestarteten Prozesse und der Zeit, zu der sie gestartet wurden, bieten. Für Domänencontroller und andere Infrastrukturserver mit nur einer Rolle kann diese Kategorie jederzeit sicher aktiviert werden. Server mit einzelner Rolle generieren während des normalen Ablaufs ihrer Aufgaben nicht viel Datenverkehr zur Prozessnachverfolgung. Daher können sie aktiviert werden, um nicht autorisierte Ereignisse zu erfassen, falls sie auftreten.

Systemereignisse verfolgen

Systemereignisse sind fast eine generische Catch-All-Kategorie, bei der verschiedene Ereignisse registriert werden, die sich auf den Computer, die Systemsicherheit oder das Sicherheitsprotokoll auswirken. Sie umfasst Ereignisse für Herunterfahren und Neustarts von Computern, Stromausfälle, Systemzeitänderungen, Authentifizierungspaketinitialisierungen, Überwachungsprotokolllöschungen, Identitätswechsel und eine Vielzahl anderer allgemeiner Ereignisse. Im Allgemeinen erzeugt die Aktivierung dieser Überwachungskategorie viel „Rauschen“, aber es werden genügend sehr nützliche Ereignisse generiert, die nur schwer zu empfehlen sind, sie nicht zu aktivieren.

Erweiterte Überwachungsrichtlinien

Ab Microsoft Windows Vista® und Microsoft Windows Server 2008® hat Microsoft die Kategorieauswahl für Ereignisprotokolle verbessert, indem Unterkategorien unter jeder Hauptüberwachungskategorie erstellt wurden. Die Unterkategorien ermöglichen eine wesentlich differenziertere Überwachung als die Hauptkategorien. Mithilfe von Unterkategorien können Sie nur Teile einer bestimmten Hauptkategorie aktivieren und das Generieren von Ereignissen überspringen, die nicht nützlich sind. Jede Unterkategorie der Überwachungsrichtlinie kann für Ereignisse durch Erfolg, Fehler oder Erfolg und Fehler aktiviert werden.

Um alle verfügbaren Überwachungsunterkategorien aufzulisten, überprüfen Sie den Container Erweiterte Überwachungsrichtlinie in einem Gruppenrichtlinie Object, oder geben Sie den folgenden Befehl auf jedem Computer ein, auf dem Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 oder Windows Vista ausgeführt wird:

auditpol /list /subcategory:*

Geben Sie den folgenden Befehl ein, um eine Liste der derzeit konfigurierten Überwachungsunterkategorien auf einem Computer abzurufen, auf dem Windows Server 2012, Windows Server 2008 R2 oder Windows 2008 ausgeführt wird:

auditpol /get /category:*

Der folgende Screenshot zeigt ein Beispiel für auditpol.exe – Auflisten der aktuellen Überwachungsrichtlinie.

Hinweis

Die Gruppenrichtlinie meldet den Status aller aktivierten Überprüfungsrichtlinien nicht immer genau, während auditpol.exe dies tut. Weitere Informationen finden Sie unter Abrufen der effektiven Überwachungsrichtlinie in Windows 7 und 2008 R2.

Jede Hauptkategorie hat mehrere Unterkategorien. Nachstehend finden Sie eine Liste der Kategorien, ihrer Unterkategorien und Beschreibungen ihrer Funktionen.

Beschreibungen zu Überwachungsunterkategorien

Die Überwachungsrichtlinienkategorien ermöglichen die folgenden Ereignisprotokollmeldungstypen.

Kontoanmeldung

Überprüfung der Anmeldeinformationen

Diese Unterkategorie meldet die Ergebnisse von Validierungstests für Anmeldeinformationen, die für eine Anmeldeanforderung eines Benutzerkontos übermittelt wurden. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller maßgebend, während für lokale Konten der lokale Computer maßgebend ist.

In Domänenumgebungen treten die meisten Kontoanmeldeereignisse im Sicherheitsprotokoll der Domänencontroller auf, die für die Domänenkonten maßgebend sind. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten zur Anmeldung verwendet werden.

Ticketvorgänge des Kerberos-Diensts

Diese Unterkategorie meldet Ereignisse, die von Kerberos-Ticketanforderungsprozessen auf dem für das Domänenkonto autorisierenden Domänencontroller generiert wurden.

Kerberos-Authentifizierungsdienst

Diese Unterkategorie meldet Ereignisse, die vom Kerberos-Authentifizierungsdienst generiert wurden. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist.

Andere Kontoanmeldungsereignisse

In dieser Unterkategorie werden die Ereignisse gemeldet, die als Reaktion auf Anmeldeinformationen auftreten, die für eine Benutzerkontoanmeldungsanforderung gesendet werden und die sich nicht auf die Überprüfung von Anmeldeinformationen oder Kerberos-Tickets beziehen. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller maßgebend, während für lokale Konten der lokale Computer maßgebend ist.

In Domänenumgebungen treten die meisten Kontoanmeldeereignisse im Sicherheitsprotokoll der Domänencontroller auf, die für die Domänenkonten maßgebend sind. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten zur Anmeldung verwendet werden. Beispiele sind etwa:

• Verbindungsabbrüche bei Remotedesktopsitzungen
• Neue Remotedesktopsitzungen
• Sperren und Entsperren einer Arbeitsstation
• Aufrufen eines Bildschirmschoners
• Schließen eines Bildschirmschoners
• Erkennung eines Kerberos-Wiederholungsangriffs, bei dem eine Kerberos-Anfrage mit identischen Informationen zweimal empfangen wird
• Gewähren des Zugriffs zu einem drahtlosen Netzwerk für ein Benutzer- oder Computerkonto
• Gewähren des Zugriffs zu einem kabelgebundenen 802.1x-Netzwerk für ein Benutzer- oder Computerkonto

Kontoverwaltung

Benutzerkontenverwaltung

Diese Unterkategorie berichtet über jedes Ereignis der Benutzerkontenverwaltung, wie z. B.:

• Benutzerkonto erstellt, geändert oder gelöscht
• Benutzerkonto umbenannt, deaktiviert oder aktiviert
• Passwort gesetzt oder geändert

Wenn diese Einstellung der Prüfrichtlinie aktiviert ist, können Administratoren Ereignisse verfolgen, um böswillige, versehentliche und autorisierte Erstellung von Benutzerkonten zu erkennen.

Computerkontoverwaltung

In dieser Unterkategorie wird jedes Ereignis der Computerkontoverwaltung gemeldet, z. B. wenn ein Computerkonto erstellt, geändert, gelöscht, umbenannt, deaktiviert oder aktiviert wird.

Verwaltung von Sicherheitsgruppen

Diese Unterkategorie meldet jedes Ereignis der Sicherheitsgruppenverwaltung, z. B. wenn eine Sicherheitsgruppe erstellt, geändert oder gelöscht wird oder ein Mitglied einer Sicherheitsgruppe hinzugefügt bzw. daraus entfernt wird. Wenn Sie diese Überwachungsrichtlinieneinstellung aktivieren, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Sicherheitsgruppenkonten zu erkennen.

Verwaltung von Verteilergruppen

Diese Unterkategorie meldet jedes Ereignis der Verteilergruppenverwaltung, z. B. wenn eine Verteilergruppe erstellt, geändert oder gelöscht wird oder ein Mitglied einer Verteilergruppe hinzugefügt bzw. daraus entfernt wird. Wenn diese Einstellung der Prüfrichtlinie aktiviert ist, können Administratoren Ereignisse verfolgen, um böswillige, versehentliche und autorisierte Erstellung von Benutzerkonten zu erkennen.

Verwaltung von Anwendungsgruppen

Diese Unterkategorie meldet jedes Ereignis der Anwendungsgruppenverwaltung auf einem Computer, z. B. wenn eine Anwendungsgruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied zu einer Anwendungsgruppe hinzugefügt oder aus ihr entfernt wird. Wenn diese Einstellung der Prüfrichtlinie aktiviert ist, können Administratoren Ereignisse verfolgen, um böswillige, versehentliche und autorisierte Erstellung von Anwendungsgruppenkonten zu erkennen.

Andere Kontoverwaltungsereignisse

Diese Unterkategorie meldet andere Kontoverwaltungsereignisse.

Detaillierte Prozessverfolgung

Die detaillierte Überwachung der Prozessverfolgung umfasst sowohl die Erstellung als auch die Beendigung von Prozessen.

Prozesserstellung

Diese Unterkategorie meldet die Erstellung eines Prozesses und den Namen des Benutzers oder Programms, der/das ihn erstellt hat.

Prozessbeendigung

Diese Unterkategorie meldet, wenn ein Prozess beendet wird.

DPAPI-Aktivität

Diese Unterkategorie meldet Verschlüsselungs- oder Entschlüsselungsaufrufe an die Programmierschnittstelle für Datenschutzanwendungen (DPAPI). DPAPI wird verwendet, um geheime Informationen wie gespeicherte Kennwörter und Schlüsselinformationen zu schützen.

RPC-Ereignisse

Diese Unterkategorie meldet RPC-Verbindungsereignisse (Remote Procedure Call).

Zugang zum Verzeichnisdienst

Zugang zum Verzeichnisdienst

Diese Unterkategorie meldet, wenn auf ein AD DS-Objekt zugegriffen wird. Nur bei Objekten mit konfigurierten SACLs werden Audit-Ereignisse erzeugt, und auch nur dann, wenn der Zugriff auf sie auf eine Weise erfolgt, die den SACL-Einträgen entspricht. Diese Ereignisse ähneln den Verzeichnisdienstzugriffsereignissen in früheren Versionen von Windows Server. Diese Unterkategorie gilt nur für Domänencontroller.

Verzeichnisdienständerungen

Diese Unterkategorie meldet Änderungen an Objekten in AD DS. Die gemeldeten Änderungstypen sind Vorgänge zum Erstellen, Ändern, Verschieben und Wiederherstellen, die auf einem Objekt ausgeführt werden. Die Verzeichnisdienständerungsprüfung zeigt gegebenenfalls die alten und neuen Werte der geänderten Eigenschaften der geänderten Objekte an. Nur bei Objekten mit SACLs werden Audit-Ereignisse erzeugt, und auch nur dann, wenn der Zugriff auf sie in einer Weise erfolgt, die ihren SACL-Einträgen entspricht. Einige Objekte und Eigenschaften lösen aufgrund der Einstellungen der Objektklasse im Schema keine Überwachungsereignisse aus. Diese Unterkategorie gilt nur für Domänencontroller.

Verzeichnisdienstreplikation

Diese Unterkategorie berichtet, wann die Replikation zwischen zwei Domänencontrollern beginnt und endet.

Detaillierte Verzeichnisdienstreplikation

Diese Unterkategorie enthält detaillierte Informationen zu den Informationen, die zwischen Domänencontrollern repliziert werden. Diese Ereignisse können sehr umfangreich sein.

Anmeldung/Abmeldung

Anmeldung

Diese Unterkategorie meldet, wenn ein Benutzer versucht, sich beim System anzumelden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn diese Einstellung auf Keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich festzustellen, welcher Benutzer auf Computer der Organisation zugegriffen oder versucht hat, darauf zuzugreifen.

Netzwerkrichtlinienserver

Diese Unterkategorie meldet Ereignisse, die von RADIUS (IAS) und NAP-Benutzerzugriffsanforderungen (Network Access Protection, Netzwerkzugriffsschutz) generiert wurden. Diese Anforderungen können Gewähren, Verweigern, Verwerfen, Quarantäne, Sperren und Entsperren sein. Die Prüfung dieser Einstellung führt zu einem mittleren oder hohen Volumen an Datensätzen auf NPS- und IAS-Servern.

IPsec-Hauptmodus

In dieser Unterkategorie werden die Ergebnisse des IKE-Protokolls (Internet Key Exchange) und des AuthIP-Protokolls (Authenticated Internet Protocol) während der Verhandlungen im Hauptmodus angezeigt.

IPsec-Erweiterungsmodus

Diese Unterkategorie meldet die Ergebnisse von AuthIP während Verhandlungen im erweiterten Modus.

Andere An-/Abmeldeereignisse

In dieser Unterkategorie werden andere Ereignisse in Bezug auf Anmeldung/Abmeldung gemeldet, wie z. B. Trennen von Verbindungen mit Terminaldienste-Sitzungen und deren erneutes Herstellen, die Verwendung von RunAs, um Prozesse unter einem anderen Konto auszuführen, und Sperren einer Arbeitsstation und Aufheben der Sperre.

Abmelden (Logoff)

Diese Unterkategorie berichtet, wenn sich ein Benutzer vom System abmeldet. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn diese Einstellung auf Keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich festzustellen, welcher Benutzer auf Computer der Organisation zugegriffen oder versucht hat, darauf zuzugreifen.

Kontosperrung

Beschreibung: In dieser Unterkategorie wird gemeldet, wenn das Konto eines Benutzers aufgrund zu vieler fehlerhafter Anmeldeversuche gesperrt ist.

IPsec-Schnellmodus

Diese Unterkategorie berichtet über die Ergebnisse des IKE-Protokolls und von AuthIP während der Quick Mode-Verhandlungen.

Spezielle Anmeldung

Diese Unterkategorie berichtet, wenn eine spezielle Anmeldung verwendet wird. Eine spezielle Anmeldung ist eine Anmeldung, die administratorähnliche Berechtigungen hat und verwendet werden kann, um einen Prozess auf eine höhere Ebene zu heben.

Richtlinienänderung

Richtlinienänderungen überwachen

In dieser Unterkategorie werden Änderungen in der Prüfungspolitik einschließlich der SACL-Änderungen gemeldet.

Authentifizierungsrichtlinienänderung

In dieser Unterkategorie werden Änderungen in der Authentifizierungsrichtlinie gemeldet.

Autorisierungsrichtlinienänderung

Diese Unterkategorie meldet Änderungen an der Autorisierungsrichtlinie, einschließlich DaCL-Änderungen (Permissions).

MPSSVC-Richtlinienänderung auf Regelebene

In dieser Unterkategorie werden Änderungen an Richtlinienregeln gemeldet, die vom Microsoft Protection Service (MPSSVC.exe) verwendet werden. Dieser Dienst wird von der Windows-Firewall verwendet.

Filterplattform-Richtlinienänderung

Diese Unterkategorie berichtet über das Hinzufügen und Entfernen von Objekten aus dem WFP, einschließlich der Startfilter. Diese Ereignisse können sehr umfangreich sein.

Andere Richtlinienänderungsereignisse

In dieser Unterkategorie werden andere Arten von Sicherheitsrichtlinienänderungen gemeldet, wie z. B. die Konfiguration des Trusted Platform Module (TPM) oder von Kryptographieanbietern.

Berechtigungen

Die Berechtigungsverwendung deckt sowohl vertrauliche als auch nicht vertrauliche Berechtigungen ab.

Verwendung vertraulicher Privilegien

In dieser Unterkategorie wird gemeldet, wenn ein Benutzerkonto oder ein Dienst vertrauliche Berechtigungen verwendet. Eine vertrauliche Berechtigung umfasst die folgenden Benutzerrechte:

• Einsetzen als Teil des Betriebssystems
• Sichern von Dateien und Verzeichnissen
• Erstellen eines Tokenobjekts, Debuggen von Programmen
• Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
• Generieren von Sicherheitsüberwachungen, Annehmen der Identität eines Clients nach der Authentifizierung
• Laden und Entfernen von Gerätetreibern
• Verwalten von Überwachungs- und Sicherheitsprotokollen
• Verändern der Firmwareumgebungsvariablen
• Ersetzen eines Tokens auf Prozessebene, Wiederherstellen von Dateien und Verzeichnissen
• Übernehmen des Besitzes von Dateien und Objekten.

Das Überwachen dieser Unterkategorie erzeugt eine große Anzahl von Ereignissen.

Verwendung nicht vertraulicher Berechtigungen

In dieser Unterkategorie wird gemeldet, wenn ein Benutzerkonto oder ein Dienst nicht vertrauliche Berechtigungen verwendet. Eine nicht vertrauliche Berechtigung umfasst die folgenden Benutzerrechte:

• Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen
• Auf diesen Computer vom Netzwerk aus zugreifen.
• Hinzufügen von Arbeitsstationen zur Domäne
• Anpassen von Speicherkontingenten für einen Prozess
• Lokale Anmeldung zulassen
• Anmelden über Remotedesktopdienste zulassen
• Auslassen der durchsuchenden Überprüfung
• Ändern der Systemzeit
• Erstellen einer Auslagerungsdatei
• Erstellen globaler Objekte
• Erstellen von dauerhaft freigegebenen Objekten
• Erstellen symbolischer Verknüpfungen
• Zugriff vom Netzwerk auf diesen Computer verweigern
• Anmelden als Batchauftrag verweigern
• Anmelden als Dienst verweigern
• Lokal anmelden verweigern
• Anmelden über Remotedesktopdienste verweigern
• Erzwingen des Herunterfahrens von einem Remotesystem
• Arbeitssatz eines Prozesses vergrößern
• Anheben der Zeitplanungspriorität
• Sperren von Seiten im Speicher
• Als Batchauftrag anmelden
• Anmelden als Dienst
• Verändern einer Objektbezeichnung
• Ausführen von Volumewartungsaufgaben
• Erstellen eines Profils für einen Einzelprozess
• Erstellen eines Profils der Systemleistung
• Entfernen des Computers von der Dockingstation
• Herunterfahren des Systems
• Synchronisieren von Verzeichnisdienstdaten

Das Überwachen dieser Unterkategorie erzeugt eine große Anzahl von Ereignissen.

Andere Berechtigungsverwendungsereignisse

Diese Sicherheitsrichtlinieneinstellung wird derzeit nicht verwendet.

Objektzugriff

Die Objektzugriffskategorie umfasst Dateisystem- und Registrierungsunterkategorien.

Dateisystem

Diese Unterkategorie meldet, wenn auf Dateisystemobjekte zugegriffen wird. Nur Dateisystemobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und das nur dann, wenn der Zugriff auf eine Weise erfolgt, die ihren SACL-Einträgen entspricht. Diese Richtlinieneinstellung allein führt nicht zur Überprüfung von Ereignissen. Sie bestimmt, ob das Ereignis eines Benutzers überwacht werden soll, der auf ein Dateisystemobjekt zugreift, das über eine angegebene Systemzugriffssteuerungsliste (SACL) verfügt, wodurch die Überwachung effektiv durchgeführt werden kann.

Wenn die Zugriffseinstellung des Überwachungsobjekts auf Success konfiguriert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolgreich auf ein Objekt mit einer angegebenen SACL zugreift. Wenn diese Richtlinieneinstellung auf Fehler konfiguriert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer beim Versuch, auf ein Objekt mit einer angegebenen SACL zuzugreifen, fehlschlägt.

Registrierung

Diese Unterkategorie meldet, wenn auf Registrierungsobjekte zugegriffen wird. Nur Registrierungssystemobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und das nur dann, wenn der Zugriff auf eine Weise erfolgt, die ihren SACL-Einträgen entspricht. Diese Richtlinieneinstellung allein führt nicht zur Überprüfung von Ereignissen.

Kernelobjekt

Diese Unterkategorie meldet, wenn auf Kernelobjekte wie Prozesse und Mutexes zugegriffen wird. Nur Kernelobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und das nur dann, wenn der Zugriff auf eine Weise erfolgt, die ihren SACL-Einträgen entspricht. In der Regel erhalten Kernelobjekte nur dann SACLs, wenn die Überwachungsoption AuditBaseObjects oder AuditBaseDirectories aktiviert ist.

SAM

Diese Unterkategorie meldet, wenn auf lokale SAM-Authentifizierungsdatenbankobjekte (Security Accounts Manager) zugegriffen wird.

Zertifizierungsdienste

Diese Unterkategorie meldet, wann Zertifizierungsdienstvorgänge ausgeführt werden.

Anwendung generiert

Diese Unterkategorie meldet, wenn Anwendungen versuchen, Überwachungsereignisse mithilfe der Windows-Überwachungsanwendungsprogrammierschnittstellen (APIs) zu generieren.

Handleänderung

Diese Unterkategorie meldet, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird. Nur Objekte mit konfigurierten SACLs generieren dieser Ereignisse, und zwar auch nur dann, wenn der versuchte Handlevorgang mit der SACL übereinstimmt. Handle-Manipulationsereignisse werden nur für Objekttypen generiert, bei denen die entsprechende Objektzugriffsunterkategorie aktiviert ist (z. B. Dateisystem oder Registrierung).

Dateifreigabe

Diese Unterkategorie meldet, wenn auf eine Dateifreigabe zugegriffen wird. Diese Richtlinieneinstellung allein führt nicht zur Überprüfung von Ereignissen. Sie bestimmt, ob das Ereignis eines Benutzers überwacht werden soll, der auf ein Dateisystemobjekt zugreift, das über eine angegebene Systemzugriffssteuerungsliste (SACL) verfügt, wodurch die Überwachung effektiv durchgeführt werden kann.

Filterplattform: Verworfene Pakete

Diese Unterkategorie meldet, wenn Pakete von der Windows-Filterplattform (WFP) gelöscht werden. Diese Ereignisse können sehr umfangreich sein.

Filterplattformverbindung

Diese Unterkategorie meldet, wenn Verbindungen von WFP zugelassen oder blockiert werden. Diese Ereignisse können sehr umfangreich sein.

Andere Objektzugriffsereignisse

In dieser Unterkategorie werden andere auf den Objektzugriff bezogene Ereignisse wie Taskplaneraufträge und COM+-Objekte gemeldet.

System

Sicherheitsstatusänderung

Beschreibung: In dieser Unterkategorie werden Änderungen im Sicherheitsstatus des Systems gemeldet, z. B. wenn das Sicherheitssubsystem startet und beendet wird.

Sicherheitssystemerweiterung

In dieser Unterkategorie wird das Laden von Erweiterungscode wie Authentifizierungspaketen durch das Sicherheitssubsystem gemeldet.

Systemintegrität

In dieser Unterkategorie werden Verstöße gegen die Integrität des Sicherheitssubsystems gemeldet.

IPsec-Treiber

Diese Unterkategorie meldet die Aktivitäten des IPsec-Treibers (Internet Protocol Security, Internetprotokollsicherheit).

Andere Systemereignisse

Diese Unterkategorie meldet andere Systemereignisse.

Weitere Informationen zu den Beschreibungen der Unterkategorie finden Sie im Microsoft Security Compliance Manager-Tool.

Jede Organisation sollte die zuvor abgedeckten Kategorien und Unterkategorien überprüfen und diejenigen aktivieren, die am besten zu ihrer Umgebung passen. Änderungen an der Überwachungsrichtlinie sollten immer vor der Bereitstellung in einer Produktionsumgebung getestet werden.

Konfigurieren der Windows-Überwachungsrichtlinie

Die Windows-Überwachungsrichtlinie kann mithilfe von Gruppenrichtlinien, auditpol.exe, APIs oder Registrierungsbearbeitungen festgelegt werden. Die empfohlenen Methoden zum Konfigurieren der Überwachungsrichtlinie für die meisten Unternehmen sind Gruppenrichtlinie oder auditpol.exe. Das Festlegen der Überwachungsrichtlinie eines Systems erfordert Kontoberechtigungen auf Administratorebene oder die entsprechenden delegierten Berechtigungen.

Hinweis

Die Berechtigung Überwachung und Sicherheitsprotokoll verwalten muss Sicherheitsprinzipalen (Administratoren verfügen standardmäßig) erteilt werden, um die Änderung der Objektzugriffsüberwachungsoptionen einzelner Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlüssel zuzulassen.

Festlegen der Windows-Überwachungsrichtlinie mithilfe einer Gruppenrichtlinie

Konfigurieren Sie zum Festlegen der Überwachungsrichtlinie mithilfe von Gruppenrichtlinien die entsprechenden Überwachungskategorien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie (siehe folgenden Screenshot für ein Beispiel aus dem Editor für lokale Gruppenrichtlinie (gpedit.msc)). Jede Prüfungsrichtlinienkategorie kann für Erfolg, Fehlschlag oder Erfolgs- und Misserfolgserlebnisse aktiviert werden.

Die erweiterte Überwachungsrichtlinie kann mithilfe von Active Directory- oder lokalen Gruppenrichtlinien festgelegt werden. Konfigurieren Sie zum Festlegen der Überwachungsrichtlinie mithilfe von Gruppenrichtlinien die entsprechenden Überwachungskategorien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie (siehe folgenden Screenshot für ein Beispiel aus dem Editor für lokale Gruppenrichtlinie (gpedit.msc)). Jede Unterkategorie der Überwachungsrichtlinie kann für die Ereignisse Erfolg, Fehlschlag oder Erfolgs- und Misserfolgserlebnisse aktiviert werden.

Festlegen der Windows-Überwachungsrichtlinie mithilfe von Auditpol.exe

Auditpol.exe (zum Festlegen der Windows-Überwachungsrichtlinie) wurde in Windows Server 2008 und Windows Vista eingeführt. Zunächst konnte nur auditpol.exe zum Festlegen der erweiterten Überwachungsrichtlinie verwendet werden, aber Gruppenrichtlinie können in Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008, Windows 8 und Windows 7 verwendet werden.

Auditpol.exe ist ein Befehlszeilenprogramm. Die Syntax ist wie folgt:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe Syntaxbeispiele:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Hinweis

Auditpol.exe legt die erweiterte Überwachungsrichtlinie lokal fest. Wenn lokale Richtlinien mit Active Directory oder lokalen Gruppenrichtlinie in Konflikt treten, haben Gruppenrichtlinie Einstellungen in der Regel Vorrang vor auditpol.exe Einstellungen. Wenn mehrere Gruppen- oder lokale Richtlinienkonflikte vorhanden sind, gilt nur eine Richtlinie (ersetzen). Überwachungsrichtlinien werden nicht zusammengeführt.

Skripterstellung für Auditpol

Microsoft stellt ein Beispielskript für Administratoren bereit, die die erweiterte Überwachungsrichtlinie mithilfe eines Skripts festlegen möchten, anstatt jeden auditpol.exe Befehl manuell einzugeben.

Anmerkung Die Gruppenrichtlinie meldet den Status aller aktivierten Überprüfungsrichtlinien nicht immer genau, während auditpol.exe dies tut. Weitere Informationen finden Sie unter Abrufen der effektiven Überwachungsrichtlinie in Windows 7 und 2008 R2.

Andere Auditpol-Befehle

Auditpol.exe können verwendet werden, um eine lokale Überwachungsrichtlinie zu speichern und wiederherzustellen und andere überwachungsbezogene Befehle anzuzeigen. Hier sind die anderen Auditpol-Befehle.

auditpol /clear – Wird verwendet, um lokale Überwachungsrichtlinien zu löschen und zurückzusetzen.

auditpol /backup /file:<filename> – Wird verwendet, um eine aktuelle lokale Überwachungsrichtlinie in einer Binärdatei zu sichern.

auditpol /restore /file:<filename> – Wird verwendet, um eine zuvor gespeicherte Überwachungsrichtliniendatei in eine lokale Überwachungsrichtlinie zu importieren.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> – Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, wird das System sofort beendet (mit der Meldung STOP: C0000244 {Audit Failed}), wenn eine Sicherheitsüberwachung aus irgendeinem Grund nicht protokolliert werden kann. Dass ein Ereignis nicht protokolliert werden kann, liegt in der Regel daran, dass das Sicherheitsüberwachungsprotokoll voll ist und der Wert der Aufbewahrungsmethode des Sicherheitsprotokolls auf Ereignisse nicht überschreiben (Protokoll manuell aufräumen) oder Ereignisse auf Tagen basierend überschreiben esetzt ist. In der Regel ist diese Richtlinie nur in Umgebungen aktiviert, die eine höhere Sicherheit dafür benötigen, dass das Sicherheitsprotokoll protokolliert wird. Wenn diese Option aktiviert ist, müssen Administratoren die Größe des Sicherheitsprotokolls genau überwachen und protokolle nach Bedarf rotieren. Sie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachung: System sofort herunterfahren ändern, wenn Sicherheitsüberwachungen nicht protokolliert werden können (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Diese Überwachungsrichtlinieneinstellung bestimmt, ob der Zugriff auf globale Systemobjekte überwacht werden soll. Wenn diese Richtlinie aktiviert ist, werden Systemobjekte wie Mutexe, Ereignisse, Semaphore und DOS-Geräte mit einer Standardmäßigen Systemzugriffssteuerungsliste (SACL) erstellt. Die meisten Administratoren betrachten die Überwachung globaler Systemobjekte als zu „laut“ und aktivieren sie nur, wenn böswilliges Hacken vermutet wird. Nur benannte Objekte erhalten eine SACL. Wenn die Überwachungsrichtlinie für die Überwachungsobjektzugriffsüberwachung (oder die Kernelobjektüberwachungsunterkategorie) ebenfalls aktiviert ist, wird der Zugriff auf diese Systemobjekte überwacht. Beim Konfigurieren dieser Sicherheitseinstellung wird die Änderung erst wirksam, wenn Sie Windows neu starten. Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachen des Zugriffs auf globale Systemobjekte (Standard=deaktiviert) ändern.

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> – Diese Überwachungsrichtlinieneinstellung gibt an, dass benannte Kernelobjekte (z. B. Mutexe und Semaphore) bei der Erstellung SACLs erhalten sollen. AuditBaseDirectories wirkt sich auf Containerobjekte aus, während AuditBaseObjects sich auf Objekte auswirkt, die keine anderen Objekte enthalten können.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> – Diese Überwachungsrichtlinieneinstellung gibt an, ob der Client ein Ereignis generiert, wenn einem Benutzersicherheitstoken eine oder mehrere der folgenden Berechtigungen zugewiesen sind:

• AssignPrimaryTokenPrivilege
• AuditPrivilege
• BackupPrivileg
• CreateTokenPrivilege
• DebugPrivileg
• EnableDelegationPrivilege
• ImpersonatePrivilege
• LoadDriverPrivilege
• RestorePrivilege
• Sicherheitsprivileg
• SystemEnvironmentPrivilege
• TakeOwnershipPrivilege
• TcbPrivileg.

Wenn diese Option nicht aktiviert ist (Standard=Deaktiviert), werden die Berechtigungen BackupPrivilege und RestorePrivilege nicht aufgezeichnet. Die Aktivierung dieser Option kann dazu führen, dass das Sicherheitsprotokoll während eines Sicherungsvorgangs extrem laut wird (manchmal Hunderte von Ereignissen pro Sekunde). Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachen: Überwachen der Verwendung der Berechtigung „Sichern und Wiederherstellen“" ändern.

Hinweis

Einige informationen, die hier bereitgestellt werden, stammen aus dem Microsoft-Überwachungsoptionstyp und dem Microsoft SCM-Tool.

Erzwingen der herkömmlichen Überwachung oder erweiterten Überwachung

In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 und Windows Vista können Administratoren die neun herkömmlichen Kategorien aktivieren oder die Unterkategorien verwenden. Es ist eine binäre Wahl, die in jedem Windows-System getroffen werden muss. Entweder können die Hauptkategorien aktiviert werden oder die Unterkategorien; beides ist nicht möglich.

Um zu verhindern, dass die ältere traditionelle Kategorierichtlinie Unterkategorien der Überwachungsrichtlinie überschreibt, müssen Sie die Richtlinieneinstellung Überwachungsrichtlinien-Unterkategorieeinstellungen erzwingen (Windows Vista oder höher) aktivieren, um überwachungsrichtlinienkategorieeinstellungen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen außer Kraft zu setzen.

Es wird empfohlen, die Unterkategorien anstelle der neun Hauptkategorien zu aktivieren und zu konfigurieren. Dies erfordert, dass eine Gruppenrichtlinieneinstellung aktiviert ist (damit Unterkategorien die Überwachungskategorien außer Kraft setzen können), zusammen mit dem Konfigurieren der verschiedenen Unterkategorien, die Überwachungsrichtlinien unterstützen.

Überwachungsunterkategorien können mit verschiedenen Methoden konfiguriert werden, einschließlich Gruppenrichtlinie und des Befehlszeilenprogramms, auditpol.exe.

Nächste Schritte

• Überwachung und Compliance in Windows Server 2008

• Verwenden einer Gruppenrichtlinie zum Konfigurieren detaillierter Einstellungen für die Sicherheitsüberwachung für Windows Vista-basierte und Windows Server 2008-basierte Computer in einer Windows Server 2008-Domäne, in einer Windows Server 2003-Domäne oder in einer Windows 2000 Server-Domäne

• Schrittweise Anleitung für die erweiterte Sicherheitsüberwachungsrichtlinie