Group Policy Object
  • Home
    • Sonstiges
    • WebLinks
    • Datenschutzerklärung
    • Impressum
  • Windows Sicherheitseinstellungen
    • Ereignisprotokoll
    • Kontorichtlinien
      • Kennwortrichtlinien
      • Kontosperrungsrichtlinien
      • Kerberos
    • Sicherheitsoptionen
    • Überwachungsrichtlinie
    • Zuweisen von Benutzerrechten
    • Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen
    • Windows Firewall

Erweiterte Suche
  1. Aktuelle Seite:  
  2. Startseite
  3. Windows Sicherheitseinstellungen
  4. Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen

Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen

Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen

Kontoanmeldung

Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überprüfung der Anmeldeinformationen
  • Kerberos-Authentifizierungsdienst
  • Ticketvorgänge des Kerberos-Diensts
  • Andere Kontoanmeldungsereignisse

Kontoverwaltung

Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Anwendungsgruppenverwaltung
  • Computerkontoverwaltung
  • Verteilergruppenverwaltung
  • Andere Kontoverwaltungsereignisse
  • Sicherheitsgruppenverwaltung
  • Benutzerkontenverwaltung

Detaillierte Überwachung

Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:

So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:

  • DPAPI-Aktivität
  • PNP-Aktivität
  • Prozesserstellung überwachen
  • Prozessbeendigung überwachen
  • RPC-Ereignisse überwachen
  • Angepasstes Tokenrecht überwachen

DS-Zugriff

DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Detaillierte Verzeichnisdienstreplikation überwachen
  • Verzeichnisdienstzugriff überwachen
  • Verzeichnisdienständerungen überwachen
  • Verzeichnisdienstreplikation überwachen

Anmelden/Abmelden

Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Kontosperrung überwachen
  • Benutzer-Geräteansprüche überwachen
  • IPsec-Erweiterungsmodus überwachen
  • IPsec-Hauptmodus überwachen
  • IPsec-Schnellmodus überwachen
  • Abmelden überwachen
  • Anmelden überwachen
  • Netzwerkrichtlinienserver überwachen
  • Andere Anmelde-Abmeldeereignisse überwachen
  • Spezielle Anmeldung überwachen

Objektzugriff

Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.

Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".

Diese Kategorie umfasst die folgenden Unterkategorien:

  • Anwendung generiert überwachen
  • Zertifizierungsdienste überwachen
  • Detaillierte Dateifreigabe überwachen
  • Dateifreigabe überwachen
  • Dateisystem überwachen
  • Windows-Filterplattformverbindung überwachen
  • Windows-Filterplattform: Verworfene Pakete überwachen
  • Handleänderung überwachen
  • Kernelobjekt überwachen
  • Andere Objektzugriffsereignisse überwachen
  • Registrierung überwachen
  • Wechselmedien überwachen
  • SAM überwachen
  • Staging zentraler Zugriffsrichtlinien überwachen

Richtlinienänderung

Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Richtlinienänderung überwachen
  • Authentifizierungsrichtlinienänderung überwachen
  • Autorisierungsrichtlinienänderung überwachen
  • Filterplattform-Richtlinienänderung überwachen
  • MPSSVC-Richtlinienänderung auf Regelebene überwachen
  • Andere Richtlinienänderungsereignisse überwachen

Berechtigungen

Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Nicht sensible Verwendung von Rechten überwachen
  • Sensible Verwendung von Rechten überwachen
  • Andere Rechteverwndungsereignisse überwachen

System

Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:

  • Nicht in anderen Kategorien enthalten
  • Potenzielle Auswirkungen auf die Sicherheit.

Diese Kategorie umfasst die folgenden Unterkategorien:

  • IPsec-Treiber überwachen
  • Andere Systemereignisse überwachen
  • Sicherheitsstatusänderung überwachen
  • Sicherheitssystemerweiterung überwachen
  • Systemintegrität überwachen

Globale Objektzugriffsüberwachung

Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.

Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:

  • Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
  • Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.

Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.

Diese Kategorie umfasst die folgenden Unterkategorien:

  • Globalen Objektzugriff des Dateisystems überwachen
  • Globalen Objektzugriff der Registrierung überwachen

Anmelden/Abmelden

Anmelden/Abmelden

Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Kontosperrung überwachen
  • Benutzer-Geräteansprüche überwachen
  • IPsec-Erweiterungsmodus überwachen
  • Gruppenmitgliedschaft überwachen
  • IPsec-Hauptmodus überwachen
  • IPsec-Schnellmodus überwachen
  • Abmelden überwachen
  • Anmelden überwachen
  • Netzwerkrichtlinienserver überwachen
  • Andere Anmelde-Abmeldeereignisse überwachen
  • Spezielle Anmeldung überwachen

Berechtigungen

Berechtigungen

Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Nicht sensible Verwendung von Rechten überwachen
  • Sensible Verwendung von Rechten überwachen
  • Andere Rechteverwndungsereignisse überwachen

DS-Zugriff

DS-Zugriff

DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Detaillierte Verzeichnisdienstreplikation überwachen
  • Verzeichnisdienstzugriff überwachen
  • Verzeichnisdienständerungen überwachen
  • Verzeichnisdienstreplikation überwachen

Detaillierte Überwachung

Detaillierte Überwachung

Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:

So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:

  • DPAPI-Aktivität
  • PNP-Aktivität
  • Prozesserstellung überwachen
  • Prozessbeendigung überwachen
  • RPC-Ereignisse überwachen
  • Angepasstes Tokenrecht überwachen

Globale Objektzugriffsüberwachung

Globale Objektzugriffsüberwachung

Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.

Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:

  • Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
  • Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.

Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.

Diese Kategorie umfasst die folgenden Unterkategorien:

  • Globalen Objektzugriff des Dateisystems überwachen
  • Globalen Objektzugriff der Registrierung überwachen

Kontenverwaltung

Kontenverwaltung

Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Anwendungsgruppenverwaltung
  • Computerkontoverwaltung
  • Verteilergruppenverwaltung
  • Andere Kontoverwaltungsereignisse
  • Sicherheitsgruppenverwaltung
  • Benutzerkontenverwaltung

Kontoanmeldung

Kontoanmeldung

 Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Überprüfung der Anmeldeinformationen
  • Kerberos-Authentifizierungsdienst
  • Ticketvorgänge des Kerberos-Diensts
  • Andere Kontoanmeldungsereignisse

Objektzugriff

Objektzugriff

Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.

Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".

Diese Kategorie umfasst die folgenden Unterkategorien:

  • Anwendung generiert überwachen
  • Zertifizierungsdienste überwachen
  • Detaillierte Dateifreigabe überwachen
  • Dateifreigabe überwachen
  • Dateisystem überwachen
  • Windows-Filterplattformverbindung überwachen
  • Windows-Filterplattform: Verworfene Pakete überwachen
  • Handleänderung überwachen
  • Kernelobjekt überwachen
  • Andere Objektzugriffsereignisse überwachen
  • Registrierung überwachen
  • Wechselmedien überwachen
  • SAM überwachen
  • Staging zentraler Zugriffsrichtlinien überwachen

Richtlinienänderung

Richtlinienänderung

Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:

  • Richtlinienänderung überwachen
  • Authentifizierungsrichtlinienänderung überwachen
  • Autorisierungsrichtlinienänderung überwachen
  • Filterplattform-Richtlinienänderung überwachen
  • MPSSVC-Richtlinienänderung auf Regelebene überwachen
  • Andere Richtlinienänderungsereignisse überwachen

System

System

Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:

  • Nicht in anderen Kategorien enthalten
  • Potenzielle Auswirkungen auf die Sicherheit.

Diese Kategorie umfasst die folgenden Unterkategorien:

  • IPsec-Treiber überwachen
  • Andere Systemereignisse überwachen
  • Sicherheitsstatusänderung überwachen
  • Sicherheitssystemerweiterung überwachen
  • Systemintegrität überwachen

Obwohl bei der Zusammenstellung der auf dieser Webseite enthaltenen Informationen größte Sorgfalt angewandt wurde, kann nicht für deren Korrektheit garantieren werden. Die enthaltenen Angaben können ohne vorherige Ankündigung geändert werden. Damit werden durch den Betreiber der Webseite keinerlei Verpflichtungen eingegangen. Für etwaige Schäden irgendwelcher Art kann der Betreiber der Webseite nicht verantwortlich gemacht werden, die durch die Benutzung oder im Zusammenhang mit der Benutzung der hier bereitgestellten Informationen entstehen, seien es direkte oder indirekte Schäden, Folgeschäden oder Sonderschäden einschließlich entgangenen Gewinns, oder Schäden, die aus dem Verlust von Daten entstehen. Es wird empfohlen etwaige Änderung erst auf einem Testsystem durchzuführen und auf korrekte Funktionstüchtigkeit zu testen.

Impressum Datenschutzerklärung