Auditpol

Die Gruppenrichtlinienanzeige gibt nicht immer das zurück was tatsächlich in den Erweiterte Überwachungsrichtlinien eingestellt ist.
Um die tatsächlichen Einstellungen zu bekommen, muss über eine Administrative Dos-Box Auditpol verwendete werden.

Achtung:
Die Ausgabe hat nicht immer eine gleichbleibende Sortirung!

Der Befehl 

auditpol /get /category:*

liefert eine Übersicht aller Erweiterten Überwachungsrichtlinien und wie die jeweilige Einstellung ist zurück.
Jeder Eintrag kann einen der folgenden vier Einstellungen habe:

  • Keine Überwachung
  • Erfolg
  • Fehler
  • Erfolg und Fehler

Beispiel für die Kategorie System:

Systemüberwachungsrichtlinie
Kategorie/Unterkategorie Einstellung
System
Sicherheitssystemerweiterung Erfolg und Fehler
Systemintegrität Erfolg und Fehler
IPSEC-Treiber Erfolg und Fehler
Andere Systemereignisse Erfolg und Fehler
Sicherheitsstatusänderung Erfolg und Fehler

Der Befehl

auditpol /list /subcategory:*

gibt alle Kategorieren und Unterkategorieren der Erweiterten Überwachungsrichtlinien zurück.

Der Befehl

auditpol /list /subcategory:* /r

gibt alle Kategorieren, Unterkategorieren und ihre GUID zurück.
Die Kategorieren und Unterkategorieren sind abhängig von der Betriebssystemsprache, nur die GUID ist sprachenunabhängig.

Kategorie/Unterkategorie,GUID
System,{69979848-797A-11D9-BED3-505054503030}
Sicherheitsstatusänderung,{0CCE9210-69AE-11D9-BED3-505054503030}
Sicherheitssystemerweiterung,{0CCE9211-69AE-11D9-BED3-505054503030}
Systemintegrität,{0CCE9212-69AE-11D9-BED3-505054503030}
IPSEC-Treiber,{0CCE9213-69AE-11D9-BED3-505054503030}
Andere Systemereignisse,{0CCE9214-69AE-11D9-BED3-505054503030}

An-/Abmeldung,{69979849-797A-11D9-BED3-505054503030}
Anmelden,{0CCE9215-69AE-11D9-BED3-505054503030}
Abmelden,{0CCE9216-69AE-11D9-BED3-505054503030}
Kontosperrung,{0CCE9217-69AE-11D9-BED3-505054503030}
IPsec-Hauptmodus,{0CCE9218-69AE-11D9-BED3-505054503030}
IPsec-Schnellmodus,{0CCE9219-69AE-11D9-BED3-505054503030}
IPsec-Erweiterungsmodus,{0CCE921A-69AE-11D9-BED3-505054503030}
Spezielle Anmeldung,{0CCE921B-69AE-11D9-BED3-505054503030}
Andere Anmelde-/Abmeldeereignisse,{0CCE921C-69AE-11D9-BED3-505054503030}
Netzwerkrichtlinienserver,{0CCE9243-69AE-11D9-BED3-505054503030}

Objektzugriff,{6997984A-797A-11D9-BED3-505054503030}
Dateisystem,{0CCE921D-69AE-11D9-BED3-505054503030}
Registrierung,{0CCE921E-69AE-11D9-BED3-505054503030}
Kernelobjekt,{0CCE921F-69AE-11D9-BED3-505054503030}
SAM,{0CCE9220-69AE-11D9-BED3-505054503030}
Zertifizierungsdienste,{0CCE9221-69AE-11D9-BED3-505054503030}
Anwendung wurde generiert.,{0CCE9222-69AE-11D9-BED3-505054503030}
Handleänderung,{0CCE9223-69AE-11D9-BED3-505054503030}
Dateifreigabe,{0CCE9224-69AE-11D9-BED3-505054503030}
Filterplattform: Verworfene Pakete,{0CCE9225-69AE-11D9-BED3-505054503030}
Filterplattformverbindung,{0CCE9226-69AE-11D9-BED3-505054503030}
Andere Objektzugriffsereignisse,{0CCE9227-69AE-11D9-BED3-505054503030}
Detaillierte Dateifreigabe,{0CCE9244-69AE-11D9-BED3-505054503030}

Berechtigungen,{6997984B-797A-11D9-BED3-505054503030}
Sensible Verwendung von Rechten,{0CCE9228-69AE-11D9-BED3-505054503030}
Nicht sensible Verwendung von Rechten,{0CCE9229-69AE-11D9-BED3-505054503030}
Andere Rechteverwendungsereignisse,{0CCE922A-69AE-11D9-BED3-505054503030}

Detaillierte Nachverfolgung,{6997984C-797A-11D9-BED3-505054503030}
Prozesserstellung,{0CCE922B-69AE-11D9-BED3-505054503030}
Prozessbeendigung,{0CCE922C-69AE-11D9-BED3-505054503030}
DPAPI-Aktivität,{0CCE922D-69AE-11D9-BED3-505054503030}
RPC-Ereignisse,{0CCE922E-69AE-11D9-BED3-505054503030}

Richtlinienänderung,{6997984D-797A-11D9-BED3-505054503030}
Richtlinienänderungen überwachen,{0CCE922F-69AE-11D9-BED3-505054503030}
Authentifizierungsrichtlinienänderung,{0CCE9230-69AE-11D9-BED3-505054503030}
Autorisierungsrichtlinienänderung,{0CCE9231-69AE-11D9-BED3-505054503030}
MPSSVC-Richtlinienänderung auf Regelebene,{0CCE9232-69AE-11D9-BED3-505054503030}
Filterplattform-Richtlinienänderung,{0CCE9233-69AE-11D9-BED3-505054503030}
Andere Richtlinienänderungsereignisse,{0CCE9234-69AE-11D9-BED3-505054503030}

Kontenverwaltung,{6997984E-797A-11D9-BED3-505054503030}
Benutzerkontenverwaltung,{0CCE9235-69AE-11D9-BED3-505054503030}
Computerkontoverwaltung,{0CCE9236-69AE-11D9-BED3-505054503030}
Sicherheitsgruppenverwaltung,{0CCE9237-69AE-11D9-BED3-505054503030}
Verteilergruppenverwaltung,{0CCE9238-69AE-11D9-BED3-505054503030}
Anwendungsgruppenverwaltung,{0CCE9239-69AE-11D9-BED3-505054503030}
Andere Kontoverwaltungsereignisse,{0CCE923A-69AE-11D9-BED3-505054503030}

DS-Zugriff,{6997984F-797A-11D9-BED3-505054503030}
Verzeichnisdienstzugriff,{0CCE923B-69AE-11D9-BED3-505054503030}
Verzeichnisdienständerungen,{0CCE923C-69AE-11D9-BED3-505054503030}
Verzeichnisdienstreplikation,{0CCE923D-69AE-11D9-BED3-505054503030}
Detaillierte Verzeichnisdienstreplikation,{0CCE923E-69AE-11D9-BED3-505054503030}

Kontoanmeldung,{69979850-797A-11D9-BED3-505054503030}
Überprüfung der Anmeldeinformationen,{0CCE923F-69AE-11D9-BED3-505054503030}
Ticketvorgänge des Kerberos-Diensts,{0CCE9240-69AE-11D9-BED3-505054503030}
Andere Kontoanmeldungsereignisse,{0CCE9241-69AE-11D9-BED3-505054503030}
Kerberos-Authentifizierungsdienst,{0CCE9242-69AE-11D9-BED3-505054503030}