Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen
Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen
Kontoanmeldung
Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:
- Überprüfung der Anmeldeinformationen
- Kerberos-Authentifizierungsdienst
- Ticketvorgänge des Kerberos-Diensts
- Andere Kontoanmeldungsereignisse
Kontoverwaltung
Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:
- Anwendungsgruppenverwaltung
- Computerkontoverwaltung
- Verteilergruppenverwaltung
- Andere Kontoverwaltungsereignisse
- Sicherheitsgruppenverwaltung
- Benutzerkontenverwaltung
Detaillierte Überwachung
Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:
So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:
- DPAPI-Aktivität
- PNP-Aktivität
- Prozesserstellung überwachen
- Prozessbeendigung überwachen
- RPC-Ereignisse überwachen
- Angepasstes Tokenrecht überwachen
DS-Zugriff
DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:
- Detaillierte Verzeichnisdienstreplikation überwachen
- Verzeichnisdienstzugriff überwachen
- Verzeichnisdienständerungen überwachen
- Verzeichnisdienstreplikation überwachen
Anmelden/Abmelden
Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:
- Kontosperrung überwachen
- Benutzer-Geräteansprüche überwachen
- IPsec-Erweiterungsmodus überwachen
- IPsec-Hauptmodus überwachen
- IPsec-Schnellmodus überwachen
- Abmelden überwachen
- Anmelden überwachen
- Netzwerkrichtlinienserver überwachen
- Andere Anmelde-Abmeldeereignisse überwachen
- Spezielle Anmeldung überwachen
Objektzugriff
Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.
Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".
Diese Kategorie umfasst die folgenden Unterkategorien:
- Anwendung generiert überwachen
- Zertifizierungsdienste überwachen
- Detaillierte Dateifreigabe überwachen
- Dateifreigabe überwachen
- Dateisystem überwachen
- Windows-Filterplattformverbindung überwachen
- Windows-Filterplattform: Verworfene Pakete überwachen
- Handleänderung überwachen
- Kernelobjekt überwachen
- Andere Objektzugriffsereignisse überwachen
- Registrierung überwachen
- Wechselmedien überwachen
- SAM überwachen
- Staging zentraler Zugriffsrichtlinien überwachen
Richtlinienänderung
Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:
- Richtlinienänderung überwachen
- Authentifizierungsrichtlinienänderung überwachen
- Autorisierungsrichtlinienänderung überwachen
- Filterplattform-Richtlinienänderung überwachen
- MPSSVC-Richtlinienänderung auf Regelebene überwachen
- Andere Richtlinienänderungsereignisse überwachen
Berechtigungen
Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:
- Nicht sensible Verwendung von Rechten überwachen
- Sensible Verwendung von Rechten überwachen
- Andere Rechteverwndungsereignisse überwachen
System
Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:
- Nicht in anderen Kategorien enthalten
- Potenzielle Auswirkungen auf die Sicherheit.
Diese Kategorie umfasst die folgenden Unterkategorien:
- IPsec-Treiber überwachen
- Andere Systemereignisse überwachen
- Sicherheitsstatusänderung überwachen
- Sicherheitssystemerweiterung überwachen
- Systemintegrität überwachen
Globale Objektzugriffsüberwachung
Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.
Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:
- Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
- Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.
Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.
Diese Kategorie umfasst die folgenden Unterkategorien:
Anmelden/Abmelden
Anmelden/Abmelden
Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:
- Kontosperrung überwachen
- Benutzer-Geräteansprüche überwachen
- IPsec-Erweiterungsmodus überwachen
- Gruppenmitgliedschaft überwachen
- IPsec-Hauptmodus überwachen
- IPsec-Schnellmodus überwachen
- Abmelden überwachen
- Anmelden überwachen
- Netzwerkrichtlinienserver überwachen
- Andere Anmelde-Abmeldeereignisse überwachen
- Spezielle Anmeldung überwachen
Berechtigungen
Berechtigungen
Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:
DS-Zugriff
DS-Zugriff
DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:
Detaillierte Überwachung
Detaillierte Überwachung
Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:
So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:
Globale Objektzugriffsüberwachung
Globale Objektzugriffsüberwachung
Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.
Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:
- Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
- Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.
Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.
Diese Kategorie umfasst die folgenden Unterkategorien:
Kontenverwaltung
Kontenverwaltung
Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:
Kontoanmeldung
Kontoanmeldung
Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:
Objektzugriff
Objektzugriff
Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.
Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".
Diese Kategorie umfasst die folgenden Unterkategorien:
- Anwendung generiert überwachen
- Zertifizierungsdienste überwachen
- Detaillierte Dateifreigabe überwachen
- Dateifreigabe überwachen
- Dateisystem überwachen
- Windows-Filterplattformverbindung überwachen
- Windows-Filterplattform: Verworfene Pakete überwachen
- Handleänderung überwachen
- Kernelobjekt überwachen
- Andere Objektzugriffsereignisse überwachen
- Registrierung überwachen
- Wechselmedien überwachen
- SAM überwachen
- Staging zentraler Zugriffsrichtlinien überwachen
Richtlinienänderung
Richtlinienänderung
Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:
System
System
Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:
- Nicht in anderen Kategorien enthalten
- Potenzielle Auswirkungen auf die Sicherheit.
Diese Kategorie umfasst die folgenden Unterkategorien: