Überwachen von Active Directory auf Anzeichen für einen Kompromiss

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Law Number Five: Ewige Wachsamkeit ist der Preis der Sicherheit. - 10 Unveränderliche Gesetze der Sicherheitsverwaltung

Ein solides Ereignisprotokollüberwachungssystem ist ein wichtiger Bestandteil eines sicheren Active Directory-Designs. Viele Computersicherheitskompromittierungen könnten frühzeitig erkannt werden, wenn die Opfer die entsprechende Ereignisprotokollüberwachung und -warnung erlassen haben. Unabhängige Berichte haben diese Schlussfolgerung lange unterstützt. Beispielsweise gibt der Verizon-Bericht über Datenschutzverletzungen 2009 an:

"Die offensichtliche Wirkungslosigkeit der Ereignisüberwachung und Protokollanalyse ist weiterhin etwas von einer Enigma. Die Möglichkeit zur Erkennung ist vorhanden; Die Ermittler haben festgestellt, dass 66 Prozent der Opfer in ihren Protokollen ausreichend Beweise zur Verfügung hatten, um die Verletzung zu ermitteln, wenn sie bei der Analyse solcher Ressourcen noch sorgfältiger waren."

Dieser Mangel an Überwachung aktiver Ereignisprotokolle bleibt eine konsistente Schwäche in den Sicherheitsverteidigungsplänen vieler Unternehmen. Der Bericht "Verizon-Datenschutzverletzung" 2012 hat festgestellt, dass 85 Prozent der Verstöße mehrere Wochen dauerten, 84 Prozent der Opfer hatten Beweise für die Verletzung in ihren Ereignisprotokollen.

Windows-Überwachungsrichtlinie

Nachfolgend sind Links zum Offiziellen Microsoft Enterprise-Supportblog aufgeführt. Der Inhalt dieser Blogs bietet Ratschläge, Anleitungen und Empfehlungen zur Überwachung, die Ihnen bei der Verbesserung der Sicherheit Ihrer Active Directory-Infrastruktur helfen und eine wertvolle Ressource beim Entwerfen einer Überwachungsrichtlinie sind.

Die folgenden Links enthalten Informationen zu Verbesserungen der Windows-Überwachung in Windows 8 und Windows Server 2012 und Informationen zur AD DS-Überwachung in Windows Server 2008.

Windows-Überwachungskategorien

Vor Windows Vista und Windows Server 2008 hatte Windows nur neun Überwachungsrichtlinienkategorien für Ereignisprotokoll:

  • Kontoanmeldungsereignisse
  • Kontoverwaltung
  • Verzeichnisdienstzugriff
  • Anmeldeereignisse
  • Objektzugriff
  • Richtlinienänderung
  • Berechtigungen
  • Prozessverfolgung
  • Systemereignisse

Diese neun herkömmlichen Überwachungskategorien umfassen eine Überwachungsrichtlinie. Jede Überwachungsrichtlinienkategorie kann für Erfolgs-, Fehler- oder Erfolgs- und Fehlerereignisse aktiviert werden. Ihre Beschreibungen sind im nächsten Abschnitt enthalten.

Beschreibungen der Überwachungsrichtlinienkategorie

Die Überwachungsrichtlinienkategorien aktivieren die folgenden Ereignisprotokollnachrichtentypen.

Anmeldeereignisse des Überwachungskontos

Meldet jede Instanz eines Sicherheitsprinzipals (z. B. Benutzer-, Computer- oder Dienstkonto), die sich bei einem Computer anmelden oder sich von einem Computer abmelden, auf dem ein anderer Computer verwendet wird, um das Konto zu überprüfen. Kontoanmeldungsereignisse werden generiert, wenn ein Domänensicherheitsprinzipalkonto auf einem Domänencontroller authentifiziert wird. Die Authentifizierung eines lokalen Benutzers auf einem lokalen Computer generiert ein Anmeldeereignis, das im lokalen Sicherheitsprotokoll protokolliert wird. Es werden keine Kontoprotokollierungsereignisse protokolliert.

Diese Kategorie generiert viele "Rauschen", da Windows während des normalen Geschäftsverlaufs ständig Konten an und aus den lokalen und Remotecomputern anmeldet. Dennoch sollte jeder Sicherheitsplan den Erfolg und fehler dieser Überwachungskategorie enthalten.

Kontoverwaltung überwachen

Diese Überwachungseinstellung bestimmt, ob die Verwaltung von Benutzern und Gruppen nachverfolgt werden soll. Beispielsweise sollten Benutzer und Gruppen nachverfolgt werden, wenn ein Benutzer- oder Computerkonto, eine Sicherheitsgruppe oder eine Verteilergruppe erstellt, geändert oder gelöscht wird; wenn ein Benutzer- oder Computerkonto umbenannt, deaktiviert oder aktiviert wird; oder wenn ein Benutzer- oder Computerkennwort geändert wird. Ein Ereignis kann für Benutzer oder Gruppen generiert werden, die anderen Gruppen hinzugefügt oder entfernt werden.

Verzeichnisdienstzugriff überwachen

Diese Richtlinieneinstellung bestimmt, ob der Sicherheitsprinzipalzugriff auf ein Active Directory-Objekt überwacht wird, das über eine eigene angegebene Systemzugriffssteuerungsliste (SACL) verfügt. Im Allgemeinen sollte diese Kategorie nur auf Domänencontrollern aktiviert werden. Wenn diese Einstellung aktiviert ist, generiert diese Einstellung viel "Rauschen".

Überwachen von Anmeldeereignissen

Anmeldeereignisse werden generiert, wenn ein lokaler Sicherheitsprinzipal auf einem lokalen Computer authentifiziert wird. Anmeldeereignisse zeichnet Domänenanmeldungen auf, die auf dem lokalen Computer auftreten. Kontoabmeldeereignisse werden nicht generiert. Wenn dies aktiviert ist, generiert Anmeldeereignisse viele "Rauschen", sollten aber standardmäßig in jedem Sicherheitsüberwachungsplan aktiviert werden.

Überwachen des Objektzugriffs

Objektzugriff kann Ereignisse generieren, wenn anschließend definierte Objekte mit aktivierter Überwachung zugegriffen werden (z. B. "Geöffnet", "Gelesen", "Umbenannt", "Gelöscht" oder "Geschlossen"). Nachdem die Hauptüberwachungskategorie aktiviert wurde, muss der Administrator einzeln definieren, welche Objekte die Überwachung aktiviert haben. Viele Windows-Systemobjekte sind mit aktivierter Überwachung ausgestattet, sodass die Aktivierung dieser Kategorie in der Regel beginnt, Ereignisse zu generieren, bevor der Administrator alle definiert hat.

Diese Kategorie ist sehr "laut" und generiert fünf bis zehn Ereignisse für jeden Objektzugriff. Es kann für Administratoren schwierig sein, die Überwachung zu objektieren, um nützliche Informationen zu erhalten. Es sollte nur bei Bedarf aktiviert werden.

Änderung der Überwachungsrichtlinie

Diese Richtlinieneinstellung bestimmt, ob jede Inzidenz einer Änderung an Richtlinien zur Zuweisung von Benutzerrechten, Windows-Firewallrichtlinien, Vertrauensrichtlinien oder Änderungen an der Überwachungsrichtlinie überwacht werden soll. Diese Kategorie sollte auf allen Computern aktiviert werden. Es erzeugt sehr wenig Geräusche.

Verwendung von Berechtigungen überwachen

Es gibt Dutzende von Benutzerrechten und Berechtigungen in Windows (z. B. Anmeldung als Batchauftrag und Als Teil des Betriebssystems). Diese Richtlinieneinstellung bestimmt, ob jede Instanz eines Sicherheitsprinzipals überwacht werden soll, indem ein Benutzerrecht oder eine Berechtigung ausgeführt wird. Das Aktivieren dieser Kategorie führt zu vielen "Rauschen", kann jedoch hilfreich sein, wenn Sicherheitsprinzipalkonten mithilfe von erhöhten Rechten nachverfolgt werden.

Überwachungsprozessverfolgung

Diese Richtlinieneinstellung bestimmt, ob detaillierte Prozessverfolgungsinformationen für Ereignisse wie Programmaktivierung, Prozessausgang, Duplizierung und indirekten Objektzugriff überwacht werden sollen. Es ist nützlich, böswillige Benutzer und die von ihnen verwendeten Programme zu verfolgen.

Durch Aktivieren der Überwachungsprozessnachverfolgung wird eine große Anzahl von Ereignissen generiert, sodass sie normalerweise auf "Keine Überwachung" festgelegt ist. Diese Einstellung kann jedoch während einer Vorfallreaktion aus dem detaillierten Protokoll der gestarteten Prozesse und der Zeit, zu der sie gestartet wurden, einen großen Vorteil bieten. Bei Domänencontrollern und anderen Infrastrukturservern mit einzelrolle kann diese Kategorie jederzeit sicher aktiviert werden. Einzelne Rollenserver generieren während des normalen Verlaufs ihrer Aufgaben nicht viel Prozessverfolgungsdatenverkehr. So können sie aktiviert werden, um nicht autorisierte Ereignisse aufzuzeichnen, wenn sie auftreten.

Systemereignisseüberwachung

Systemereignisse sind fast eine generische Catch-All-Kategorie, das Registrieren verschiedener Ereignisse, die sich auf den Computer, seine Systemsicherheit oder das Sicherheitsprotokoll auswirken. Es enthält Ereignisse für Computerabschaltungen und Neustarts, Stromfehler, Systemzeitänderungen, Initialisierungen von Authentifizierungspaketen, Überwachungsprotokollabhebungen, Identitätswechselprobleme und eine Vielzahl anderer allgemeiner Ereignisse. Im Allgemeinen generiert die Aktivierung dieser Überwachungskategorie viel "Rauschen", aber es generiert genug sehr nützliche Ereignisse, die es schwierig ist, es jemals zu empfehlen, es nicht zu aktivieren.

Erweiterte Überwachungsrichtlinien

Ab Windows Vista und Windows Server 2008 hat Microsoft die Art und Weise verbessert, wie Ereignisprotokollkategorien ausgewählt werden können, indem Unterkategorien unter jeder Hauptüberwachungskategorie erstellt werden. Unterkategorien ermöglichen die Überwachung wesentlich genauer, als dies andernfalls durch die Verwendung der Hauptkategorien möglich ist. Mithilfe von Unterkategorien können Sie nur Teile einer bestimmten Hauptkategorie aktivieren und das Generieren von Ereignissen überspringen, für die Sie keine Verwendung haben. Jede Unterkategorie der Überwachungsrichtlinie kann für Ereignisse durch Erfolg, Fehler oder Erfolg und Fehler aktiviert werden.

Wenn Sie alle verfügbaren Überwachungsunterkategorien auflisten möchten, lesen Sie den Container "Erweiterte Überwachungsrichtlinie" in einem Gruppenrichtlinienobjekt, oder geben Sie folgendes an einer Eingabeaufforderung auf einem Beliebigen Computer ein, auf dem Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008, Windows 8, Windows 7 oder Windows Vista ausgeführt werden:

auditpol /list /subcategory:*

Um eine Liste der derzeit konfigurierten Überwachungsunterkategorien auf einem Computer mit Windows Server 2012, Windows Server 2008 R2 oder Windows 2008 abzurufen, geben Sie Folgendes ein:

auditpol /get /category:*

Der folgende Screenshot zeigt ein Beispiel für auditpol.exe auflisten der aktuellen Überwachungsrichtlinie.

Screenshot that shows an example of auditpol.exe listing the current audit policy.

Hinweis

Gruppenrichtlinie meldet nicht immer den Status aller aktivierten Überwachungsrichtlinien, während auditpol.exe. Weitere Informationen finden Sie unter "Abrufen der effektiven Überwachungsrichtlinie" in Windows 7 und 2008 R2 .

Jede Hauptkategorie weist mehrere Unterkategorien auf. Nachfolgend finden Sie eine Liste der Kategorien, deren Unterkategorien und eine Beschreibung ihrer Funktionen.

Beschreibungen für Die Überwachung von Unterkategorien

Überwachungsrichtlinienunterkategorien aktivieren die folgenden Ereignisprotokollnachrichtentypen:

Kontoanmeldung

Überprüfung der Anmeldeinformationen

Diese Unterkategorie meldet die Ergebnisse von Validierungstests für Anmeldeinformationen, die für eine Anmeldeanforderung eines Benutzerkontos übermittelt wurden. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller maßgebend, während für lokale Konten der lokale Computer maßgebend ist.

In Domänenumgebungen werden die meisten Anmeldeereignisse des Kontos im Sicherheitsprotokoll der Domänencontroller protokolliert, die für die Domänenkonten autoritativ sind. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten zur Anmeldung verwendet werden.

Ticketvorgänge des Kerberos-Diensts

Diese Unterkategorie meldet Ereignisse, die von Kerberos-Ticketanforderungsprozessen auf dem Domänencontroller generiert werden, der für das Domänenkonto autoritativ ist.

Kerberos-Authentifizierungsdienst

Diese Unterkategorie meldet Ereignisse, die vom Kerberos-Authentifizierungsdienst generiert werden. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist.

Andere Kontoanmeldungsereignisse

In dieser Unterkategorie werden die Ereignisse gemeldet, die auf Anmeldeinformationen reagieren, die für eine Anmeldekontoanmeldeanforderung übermittelt werden, die sich nicht auf anmeldeinformationenüberprüfungs- oder Kerberos-Tickets beziehen. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller maßgebend, während für lokale Konten der lokale Computer maßgebend ist.

In Domänenumgebungen werden die meisten Kontoanmeldungsereignisse im Sicherheitsprotokoll der Domänencontroller protokolliert, die für die Domänenkonten autoritativ sind. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten zur Anmeldung verwendet werden. Beispiele sind etwa:

  • Remotedesktopdienste-Sitzungstrennungen
  • Neue Remotedesktopdienstesitzungen
  • Sperren und Entsperren einer Arbeitsstation
  • Aufrufen eines Bildschirmschoners
  • Schließen eines Bildschirmschoners
  • Erkennung eines Kerberos-Wiederholungsangriffs, in dem eine Kerberos-Anforderung mit identischen Informationen zweimal empfangen wird
  • Gewähren des Zugriffs zu einem drahtlosen Netzwerk für ein Benutzer- oder Computerkonto
  • Gewähren des Zugriffs zu einem kabelgebundenen 802.1x-Netzwerk für ein Benutzer- oder Computerkonto

Kontoverwaltung

Benutzerkontenverwaltung

Diese Unterkategorie meldet jedes Ereignis der Benutzerkontenverwaltung, z. B. wenn ein Benutzerkonto erstellt, geändert oder gelöscht wird; ein Benutzerkonto wird umbenannt, deaktiviert oder aktiviert; oder ein Kennwort wird festgelegt oder geändert. Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um böswillige, versehentliche und autorisierte Erstellung von Benutzerkonten zu erkennen.

Computerkontoverwaltung

Diese Unterkategorie meldet jedes Ereignis der Computerkontoverwaltung, z. B. wenn ein Computerkonto erstellt, geändert, gelöscht, umbenannt, deaktiviert oder aktiviert wird.

Sicherheitsgruppenverwaltung

Diese Unterkategorie meldet jedes Ereignis der Sicherheitsgruppenverwaltung, z. B. wenn eine Sicherheitsgruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied aus einer Sicherheitsgruppe hinzugefügt oder entfernt wird. Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um böswillige, versehentliche und autorisierte Erstellung von Sicherheitsgruppenkonten zu erkennen.

Verteilergruppenverwaltung

Diese Unterkategorie meldet jedes Ereignis der Verteilergruppenverwaltung, z. B. wenn eine Verteilergruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied aus einer Verteilergruppe hinzugefügt oder entfernt wird. Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um böswillige, versehentliche und autorisierte Erstellung von Gruppenkonten zu erkennen.

Anwendungsgruppenverwaltung

Diese Unterkategorie meldet jedes Ereignis der Anwendungsgruppenverwaltung auf einem Computer, z. B. wenn eine Anwendungsgruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied aus einer Anwendungsgruppe hinzugefügt oder entfernt wird. Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um böswillige, versehentliche und autorisierte Erstellung von Anwendungsgruppenkonten zu erkennen.

Andere Kontoverwaltungsereignisse

Diese Unterkategorie meldet andere Kontoverwaltungsereignisse.

Detaillierte Prozessverfolgung

Prozesserstellung

Diese Unterkategorie meldet die Erstellung eines Prozesses und den Namen des Benutzers oder Programms, das sie erstellt hat.

Prozessabbruch

Diese Unterkategorie meldet, wenn ein Prozess beendet wird.

DPAPI-Aktivität

Diese Unterkategorie berichtet, dass Aufrufe der Datenschutzanwendungsprogrammierungsschnittstelle (DPAPI) verschlüsselt oder entschlüsselt werden. DPAPI wird verwendet, um geheime Informationen wie gespeicherte Kennwort- und Schlüsselinformationen zu schützen.

RPC-Ereignisse

Diese Unterkategorie meldet Remoteprozeduranrufe (RPC)-Verbindungsereignisse.

Verzeichnisdienstzugriff

Verzeichnisdienstzugriff

Diese Unterkategorie meldet, wenn auf ein AD DS-Objekt zugegriffen wird. Nur Objekte mit konfigurierten SACLs führen dazu, dass Überwachungsereignisse generiert werden, und nur dann, wenn sie auf eine Weise zugegriffen werden, die den SACL-Einträgen entspricht. Diese Ereignisse ähneln den Verzeichnisdienstzugriffsereignissen in früheren Versionen von Windows Server. Diese Unterkategorie gilt nur für Domänencontroller.

Verzeichnisdienständerungen

Diese Unterkategorie meldet Änderungen an Objekten in AD DS. Die Typen von Änderungen, die gemeldet werden, sind erstellen, ändern, verschieben und rückgängigmachen von Vorgängen, die auf einem Objekt ausgeführt werden. Die Verzeichnisdienständerungsüberwachung gibt gegebenenfalls die alten und neuen Werte der geänderten Eigenschaften der geänderten Objekte an. Nur Objekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und nur dann, wenn sie auf diese Weise zugegriffen werden, die ihren SACL-Einträgen entspricht. Einige Objekte und Eigenschaften lösen aufgrund der Einstellungen der Objektklasse im Schema keine Überwachungsereignisse aus. Diese Unterkategorie gilt nur für Domänencontroller.

Verzeichnisdienstreplikation

Diese Unterkategorie meldet, wenn die Replikation zwischen zwei Domänencontrollern beginnt und endet.

Detaillierte Verzeichnisdienstreplikation

Diese Unterkategorie meldet detaillierte Informationen zu den Informationen, die zwischen Domänencontrollern repliziert wurden. Diese Ereignisse können sehr hoch im Volumen sein.

Anmeldung/Abmeldung

Anmeldung

Diese Unterkategorie meldet, wenn ein Benutzer versucht, sich beim System anzumelden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn diese Einstellung für keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich zu bestimmen, auf welche Benutzer zugegriffen oder versucht hat, auf Organisationscomputer zuzugreifen.

Netzwerkrichtlinienserver

Diese Unterkategorie meldet Ereignisse, die von RADIUS (IAS) und Network Access Protection (NAP) Benutzerzugriffsanforderungen generiert werden. Diese Anforderungen können gewährt, verweigert, Verwerfen, Quarantäne, Sperrung und Entsperrung sein. Die Überwachung dieser Einstellung führt zu einem mittleren oder hohen Volumen von Datensätzen auf NPS- und IAS-Servern.

IPsec-Hauptmodus

In dieser Unterkategorie werden die Ergebnisse des Internet Key Exchange (IKE)-Protokolls und authentifizierten Internetprotokolls (AuthIP) während der Hauptmodusverhandlungen gemeldet.

IPsec-Erweiterter Modus

Diese Unterkategorie meldet die Ergebnisse von AuthIP während der Verhandlungen im erweiterten Modus.

Andere Anmelde-/Abmeldeereignisse

In dieser Unterkategorie werden andere Anmelde- und Abmeldeereignisse wie Remotedesktopdienste-Sitzung getrennt und wieder verbunden, mithilfe von RunAs Prozesse unter einem anderen Konto ausgeführt und eine Arbeitsstation gesperrt und entsperrt.

Abmelden (Logoff)

Diese Unterkategorie meldet, wenn ein Benutzer das System abmeldet. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wird. Bei interaktiven Anmeldungen werden diese Ereignisse auf dem Computer generiert, bei dem die Anmeldung erfolgt. Wenn eine Netzwerkanmeldung erfolgt, um auf eine Freigabe zuzugreifen, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird. Wenn diese Einstellung für keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich zu bestimmen, auf welche Benutzer zugegriffen oder versucht hat, auf Organisationscomputer zuzugreifen.

Kontosperrung

Diese Unterkategorie meldet, wenn das Konto eines Benutzers aufgrund zu vieler fehlgeschlagener Anmeldeversuche gesperrt wird.

IPsec-Schnellmodus

Diese Unterkategorie meldet die Ergebnisse des IKE-Protokolls und AuthIP während der Schnellmodusverhandlungen.

Spezielle Anmeldung

Diese Unterkategorie meldet, wann eine spezielle Anmeldung verwendet wird. Eine spezielle Anmeldung ist eine Anmeldung mit administratoräquivalenten Berechtigungen und kann verwendet werden, um einen Prozess auf eine höhere Ebene zu erhöhen.

Richtlinienänderung

Richtlinienänderungen überwachen

Diese Unterkategorie meldet Änderungen in der Überwachungsrichtlinie einschließlich SACL-Änderungen.

Änderung der Authentifizierungsrichtlinie

Diese Unterkategorie meldet Änderungen in der Authentifizierungsrichtlinie.

Änderung der Autorisierungsrichtlinie

In dieser Unterkategorie werden Änderungen in der Autorisierungsrichtlinie einschließlich der Änderungen an Berechtigungen (DACL) gemeldet.

MPSSVC Rule-Level Richtlinienänderung

Diese Unterkategorie meldet Änderungen an Richtlinienregeln, die vom Microsoft Protection Service (MPSSVC.exe) verwendet werden. Dieser Dienst wird von der Windows-Firewall verwendet.

Änderung der Filterplattformrichtlinie

Diese Unterkategorie meldet das Hinzufügen und Entfernen von Objekten aus WFP, einschließlich Startfiltern. Diese Ereignisse können sehr hoch im Volumen sein.

Andere Richtlinienänderungsereignisse

In dieser Unterkategorie werden andere Arten von Sicherheitsrichtlinienänderungen wie die Konfiguration des Trusted Platform Module (TPM) oder kryptografischer Anbieter gemeldet.

Berechtigungen

Verwendung vertraulicher Berechtigungen

Diese Unterkategorie meldet, wenn ein Benutzerkonto oder ein Dienst ein vertrauliches Recht verwendet. Ein vertrauliches Recht umfasst die folgenden Benutzerrechte: Handeln Sie als Teil des Betriebssystems, sichern Sie Dateien und Verzeichnisse, erstellen Sie ein Tokenobjekt, debuggen Sie Programme, aktivieren Sie Computer- und Benutzerkonten, die für die Delegierung vertrauenswürdig sein sollen, generieren Sicherheitsüberprüfungen, Imitieren eines Clients nach der Authentifizierung, Laden und Entladen von Gerätetreibern, Verwalten von Überwachungs- und Sicherheitsprotokollen, Ändern von Firmwareumgebungswerten, Ersetzen Sie ein Prozess-Level-Token, wiederherstellen Sie Dateien und Verzeichnisse, und übernehmen Sie den Besitz von Dateien oder anderen Objekten. Das Überwachen dieser Unterkategorie erzeugt eine große Anzahl von Ereignissen.

Verwendung von nicht sensiblen Berechtigungen

Diese Unterkategorie meldet, wenn ein Benutzerkonto oder ein Dienst ein nicht sensibles Recht verwendet. Ein nicht sensibles Recht umfasst die folgenden Benutzerrechte: Zugriff auf den Anmeldeinformationen-Manager als vertrauenswürdiger Anrufer, zugriff auf diesen Computer aus dem Netzwerk, Hinzufügen von Arbeitsstationen zu Domäne, Anpassen von Speicherkontingenten für einen Prozess, zulassen lokal anmelden, Anmeldung über Remotedesktopdienste zulassen, Überprüfung umgehen, Systemzeit ändern, Seitendateien erstellen, globale Objekte erstellen, dauerhafte freigegebene Objekte erstellen, Erstellen sie symbolische Links, verweigern Sie den Zugriff auf diesen Computer aus dem Netzwerk, verweigern Sie die Anmeldung als Batchauftrag, verweigern Sie die Anmeldung als Dienst, verweigern Sie die Anmeldung lokal, verweigern Sie die Anmeldung über Remotedesktopdienste, erzwingen das Herunterfahren von einem Remotesystem, erhöhen Sie einen Prozessarbeitssatz, erhöhen Sie die Terminplanung, sperren Sie Seiten im Arbeitsspeicher, melden Sie sich als Batchauftrag an, Melden Sie sich als Dienst an, ändern Sie eine Objektbezeichnung, führen Sie Volumenwartungsaufgaben aus, profilieren Sie einen einzelnen Prozess, die Leistung des Profilsystems, entfernen Sie Computer aus der Dockstation, beenden Sie das System und synchronisieren Sie Verzeichnisdienstdaten. Die Überwachung dieser Unterkategorie erstellt ein sehr hohes Volumen von Ereignissen.

Andere Berechtigungsverwendungsereignisse

Diese Sicherheitsrichtlinieneinstellung wird derzeit nicht verwendet.

Objektzugriff

Dateisystem

Diese Unterkategorie meldet, wenn auf Dateisystemobjekte zugegriffen wird. Nur Dateisystemobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und nur dann, wenn sie auf diese Weise mit ihren SACL-Einträgen zugegriffen werden. Diese Richtlinieneinstellung verursacht selbst keine Überwachung von Ereignissen. Es bestimmt, ob das Ereignis eines Benutzers überwacht wird, der auf ein Dateisystemobjekt zugreift, das über eine angegebene Systemzugriffssteuerungsliste (SACL) verfügt, wodurch die Überwachung wirksam erfolgt.

Wenn die Einstellung des Überwachungsobjektzugriffs auf Erfolg konfiguriert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolgreich auf ein Objekt mit einem angegebenen SACL zugreift. Wenn diese Richtlinieneinstellung auf Fehler konfiguriert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer bei einem Versuch, auf ein Objekt mit einem angegebenen SACL zuzugreifen, fehlschlägt.

Registrierung

Diese Unterkategorie meldet, wenn auf Registrierungsobjekte zugegriffen wird. Nur Registrierungsobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und nur dann, wenn sie auf diese Weise mit ihren SACL-Einträgen zugegriffen werden. Diese Richtlinieneinstellung verursacht selbst keine Überwachung von Ereignissen.

Kernel-Objekt

Diese Unterkategorie meldet, wenn Kernelobjekte wie Prozesse und Mutexes aufgegriffen werden. Nur Kernelobjekte mit SACLs führen dazu, dass Überwachungsereignisse generiert werden, und nur dann, wenn sie auf diese Weise mit ihren SACL-Einträgen zugegriffen werden. In der Regel werden nur SACLs angegeben, wenn die Überwachungsoptionen "AuditBaseObjects" oder "AuditBase Directory" aktiviert sind.

SAM

Diese Unterkategorie meldet, wenn auf lokale Sicherheitskonten-Manager (SAM)-Authentifizierungsdatenbankobjekte zugegriffen werden.

Zertifizierungsdienste

Diese Unterkategorie meldet, wenn Zertifizierungsdienste-Vorgänge ausgeführt werden.

Anwendung generiert

Diese Unterkategorie meldet, wenn Anwendungen versuchen, Überwachungsereignisse mithilfe der Windows-Überwachungsanwendungsprogrammierschnittstellen (APIs) zu generieren.

Behandeln von Manipulationen

Diese Unterkategorie meldet, wenn ein Handle zu einem Objekt geöffnet oder geschlossen wird. Nur Objekte mit SACLs verursachen, dass diese Ereignisse generiert werden, und nur, wenn der versuchte Handle-Vorgang den SACL-Einträgen entspricht. Behandeln von Manipulationsereignissen werden nur für Objekttypen generiert, bei denen die entsprechende Objektzugriffsunterkategorie aktiviert ist (z. B. Dateisystem oder Registrierung).

Dateifreigabe

Diese Unterkategorie meldet, wenn auf eine Dateifreigabe zugegriffen wird. Diese Richtlinieneinstellung verursacht selbst keine Überwachung von Ereignissen. Es bestimmt, ob das Ereignis eines Benutzers überwacht wird, der auf ein Dateifreigabeobjekt zugreift, das über eine angegebene Systemzugriffssteuerungsliste (SACL) verfügt, wodurch die Überwachung wirksam erfolgt.

Filterplattformpaket drop

Diese Unterkategorie meldet, wenn Pakete von der Windows-Filterplattform (WFP) gelöscht werden. Diese Ereignisse können sehr hoch im Volumen sein.

Filterplattformverbindung

Diese Unterkategorie meldet, wenn Verbindungen von WFP zulässig oder blockiert werden. Diese Ereignisse können hoch im Volumen sein.

Andere Objektzugriffsereignisse

Diese Unterkategorie meldet andere Objektzugriffsereignisse wie Aufgabenplaneraufträge und COM+-Objekte.

System

Änderung des Sicherheitsstatus

Diese Unterkategorie meldet Änderungen im Sicherheitszustand des Systems, z. B. beim Starten und Anhalten des Sicherheitssystems.

Sicherheitssystemerweiterung

Diese Unterkategorie meldet das Laden von Erweiterungscode wie Authentifizierungspaketen durch das Sicherheitssystem.

Systemintegrität

Diese Unterkategorie berichtet über Verletzungen der Integrität des Sicherheitssystems.

IPsec-Treiber

Diese Unterkategorie berichtet über die Aktivitäten des IPsec-Treibers (Internet Protocol Security, IPsec).

Andere Systemereignisse

Diese Unterkategorie berichtet über andere Systemereignisse.

Weitere Informationen zu den Unterkategoriebeschreibungen finden Sie im Microsoft Security Compliance Manager-Tool.

Jede Organisation sollte die vorherigen abgedeckten Kategorien und Unterkategorien überprüfen und die zugehörigen Umgebungen am besten anpassen. Änderungen an Überwachungsrichtlinien sollten immer vor der Bereitstellung in einer Produktionsumgebung getestet werden.

Konfigurieren der Windows-Überwachungsrichtlinie

Windows-Überwachungsrichtlinie kann mithilfe von Gruppenrichtlinien, auditpol.exe, APIs oder Registrierungsbearbeitungen festgelegt werden. Die empfohlenen Methoden zum Konfigurieren der Überwachungsrichtlinie für die meisten Unternehmen sind Gruppenrichtlinien oder auditpol.exe. Wenn Sie die Überwachungsrichtlinie eines Systems festlegen, müssen Administratorebene-Kontoberechtigungen oder die entsprechenden delegierten Berechtigungen festgelegt werden.

Hinweis

Das Verwalten von Überwachungs- und Sicherheitsprotokollberechtigungen muss Sicherheitsprinzipalen zugewiesen werden (Administratoren haben es standardmäßig), um die Änderung der Objektzugriffsüberwachungsoptionen einzelner Ressourcen, z. B. Dateien, Active Directory-Objekte und Registrierungsschlüssel, zuzulassen.

Festlegen der Windows-Überwachungsrichtlinie mithilfe von Gruppenrichtlinien

Um Überwachungsrichtlinie mithilfe von Gruppenrichtlinien festzulegen, konfigurieren Sie die entsprechenden Überwachungskategorien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie (siehe den folgenden Screenshot für ein Beispiel aus dem Editor für lokale Gruppenrichtlinien (gpedit.msc)). Jede Überwachungsrichtlinienkategorie kann für Erfolgs-, Fehler- oder Fehlerereignisse aktiviert werden.

monitoring AD

Erweiterte Überwachungsrichtlinie kann mithilfe von Active Directory- oder lokalen Gruppenrichtlinien festgelegt werden. Um die erweiterte Überwachungsrichtlinie festzulegen, konfigurieren Sie die entsprechenden Unterkategorien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinie (siehe den folgenden Screenshot für ein Beispiel aus dem Editor für lokale Gruppenrichtlinien (gpedit.msc)). Jede Überwachungsrichtlinie-Unterkategorie kann für Erfolgs-, Fehler- oderFehlerereignisse aktiviert werden.

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

Festlegen der Windows-Überwachungsrichtlinie mithilfe von Auditpol.exe

Auditpol.exe (für die Einstellung der Windows-Überwachungsrichtlinie) wurde in Windows Server 2008 und Windows Vista eingeführt. Zunächst können nur auditpol.exe verwendet werden, um erweiterte Überwachungsrichtlinie festzulegen, die Gruppenrichtlinie kann jedoch in Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008, Windows 8 und Windows 7 verwendet werden.

Auditpol.exe ist ein Befehlszeilenprogramm. Die Syntax lautet wie folgt:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe Syntaxbeispiele:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Hinweis

Auditpol.exe legt die erweiterte Überwachungsrichtlinie lokal fest. Wenn lokale Richtlinien mit Active Directory oder lokalen Gruppenrichtlinien in Konflikt geraten, gelten gruppenrichtlinieneinstellungen in der Regel für auditpol.exe Einstellungen. Wenn mehrere Gruppen- oder lokale Richtlinienkonflikte vorhanden sind, wird sich nur eine Richtlinie durchsetzen (das heißt, ersetzen). Überwachungsrichtlinien werden nicht zusammengeführt.

Skripting Auditpol

Microsoft bietet ein Beispielskript für Administratoren, die erweiterte Überwachungsrichtlinie mithilfe eines Skripts festlegen möchten, anstatt manuell in jeden auditpol.exe Befehl einzugeben.

Hinweis Die Gruppenrichtlinie meldet nicht immer den Status aller aktivierten Überwachungsrichtlinien, während auditpol.exe funktioniert. Weitere Details finden Sie unter Abrufen der effektiven Überwachungsrichtlinie in Windows 7 und Windows 2008 R2 .

Andere Überwachungspolbefehle

Auditpol.exe können verwendet werden, um eine lokale Überwachungsrichtlinie zu speichern und wiederherzustellen und andere verwandte Befehle anzuzeigen. Hier sind die anderen Auditpolbefehle .

auditpol /clear - Wird verwendet, um lokale Überwachungsrichtlinien zu löschen und zurückzusetzen

auditpol /backup /file:<filename> - Wird verwendet, um eine aktuelle lokale Überwachungsrichtlinie auf eine Binärdatei zu sichern

auditpol /restore /file:<filename> - Wird verwendet, um eine zuvor gespeicherte Überwachungsrichtliniendatei in eine lokale Überwachungsrichtlinie zu importieren

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Wenn diese Überwachungsrichtlinieneinstellung aktiviert ist, wird das System sofort beendet (mit STOP: C0000244 {Überwachungsfehler}-Nachricht), wenn eine Sicherheitsüberwachung aus irgendeinem Grund nicht protokolliert werden kann. In der Regel wird ein Ereignis nicht protokolliert, wenn das Sicherheitsüberwachungsprotokoll vollständig ist und die aufbewahrungsmethode, die für das Sicherheitsprotokoll angegeben ist, "Ereignisse nicht überschreiben" oder " Ereignisse überschreiben " nach Days. Normalerweise ist es nur durch Umgebungen aktiviert, die höhere Sicherheit benötigen, dass das Sicherheitsprotokoll protokolliert wird. Wenn aktiviert, müssen Administratoren die Sicherheitsprotokollgröße genau überwachen und die Protokolle nach Bedarf drehen. Sie kann auch mit Gruppenrichtlinien festgelegt werden, indem Sie die Sicherheitsoption Überwachung ändern : System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können (default=deaktiviert).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Diese Überwachungsrichtlinieneinstellung bestimmt, ob der Zugriff auf globale Systemobjekte überwacht werden soll. Wenn diese Richtlinie aktiviert ist, verursacht es Systemobjekte, z. B. Mutexes, Ereignisse, Semaphoren und DOS-Geräte, die mit einer Standardliste für die Systemzugriffssteuerung (SACL) erstellt werden. Die meisten Administratoren sollten globale Systemobjekte überwachen, um zu "laut" zu sein, und sie werden es nur aktivieren, wenn böswillige Hacker vermutet werden. Nur benannte Objekte werden einem SACL zugeordnet. Wenn die Überwachungsobjektzugriffsrichtlinie (oder Kernel-Objektüberwachungsunterkategorie) ebenfalls aktiviert ist, wird der Zugriff auf diese Systemobjekte überwacht. Beim Konfigurieren dieser Sicherheitseinstellung wird die Änderung erst wirksam, wenn Sie Windows neu starten. Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachen des Zugriffs auf globale Systemobjekte (default=deaktiviert) ändern.

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Diese Überwachungsrichtlinieneinstellung gibt an, dass benannte Kernelobjekte (z. B. Mutexes und Semaphore) sacLs angegeben werden sollen, wenn sie erstellt werden. AuditBase Directory wirkt sich auf Containerobjekte aus, während AuditBaseObjects Objekte beeinflusst, die andere Objekte nicht enthalten können.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Diese Überwachungsrichtlinieneinstellung gibt an, ob der Client ein Ereignis generiert, wenn einem oder mehreren dieser Berechtigungen ein Benutzersicherheitstoken zugewiesen wird: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege und TcbPrivilege. Wenn diese Option nicht aktiviert ist (default=Deaktiviert), werden die Berechtigungen "BackupPrivilege" und "RestorePrivilege" nicht aufgezeichnet. Die Aktivierung dieser Option kann das Sicherheitsprotokoll extrem laut machen (manchmal Hunderte von Ereignissen eine Sekunde) während eines Sicherungsvorgangs. Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachung ändern : Überwachen sie die Verwendung von Sicherungs- und Wiederherstellungsberechtigungen.

Hinweis

Einige hier bereitgestellte Informationen wurden vom Microsoft-Überwachungsoptionstyp und dem Microsoft SCM-Tool abgerufen.

Erzwingen von herkömmlicher Überwachung oder erweiterter Überwachung

In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 und Windows Vista können Administratoren auswählen, um die neun herkömmlichen Kategorien zu aktivieren oder die Unterkategorien zu verwenden. Es ist eine binäre Wahl, die in jedem Windows-System vorgenommen werden muss. Entweder können die Hauptkategorien aktiviert werden oder die Unterkategorien können nicht beides sein.

Um zu verhindern, dass die ältere herkömmliche Kategorierichtlinie Überwachungsrichtlinienunterkategorien überschrieben wird, müssen Sie die Unterkategorie "Richtlinieneinstellungen für Überwachungsrichtlinien erzwingen" (Windows Vista oder höher) aktivieren, um richtlinieneinstellungen für Überwachungsrichtlinien zu überschreiben, die sich unter "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen" befinden.

Es wird empfohlen, dass die Unterkategorien aktiviert und konfiguriert werden, anstatt die neun Hauptkategorien. Dies erfordert, dass eine Gruppenrichtlinieneinstellung aktiviert ist (um Unterkategorien das Außerkraftsetzen der Überwachungskategorien zu ermöglichen) zusammen mit dem Konfigurieren der unterschiedlichen Unterkategorien, die Überwachungsrichtlinien unterstützen.

Die Überwachung von Unterkategorien kann mithilfe mehrerer Methoden konfiguriert werden, einschließlich Gruppenrichtlinien und dem Befehlszeilenprogramm, auditpol.exe.

Nächste Schritte