Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen

Erweiterte Sicherheitsüberwachungsrichtlinieneinstellungen

Kontoanmeldung

Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:

Kontoverwaltung

Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

Detaillierte Überwachung

Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:

So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:

DS-Zugriff

DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:

Anmelden/Abmelden

Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:

Objektzugriff

Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.

Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".

Diese Kategorie umfasst die folgenden Unterkategorien:

Richtlinienänderung

Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:

Berechtigungen

Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:

System

Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:

  • Nicht in anderen Kategorien enthalten
  • Potenzielle Auswirkungen auf die Sicherheit.

Diese Kategorie umfasst die folgenden Unterkategorien:

Globale Objektzugriffsüberwachung

Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.

Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:

  • Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
  • Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.

Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.

Diese Kategorie umfasst die folgenden Unterkategorien:

Anmelden/Abmelden

Anmelden/Abmelden

Anmelde-/Abmeldesicherheitsrichtlinieneinstellungen und Überwachungsereignisse ermöglichen es Ihnen, Versuche, sich interaktiv oder über ein Netzwerk bei einem Computer anzumelden, nachzuverfolgen. Diese Ereignisse sind besonders nützlich, um Benutzeraktivitäten nachzuverfolgen und potenzielle Angriffe auf Netzwerkressourcen zu identifizieren. Diese Kategorie umfasst die folgenden Unterkategorien:

Berechtigungen

Berechtigungen

Benutzern oder Computern werden Berechtigungen in einem Netzwerk gewährt, um definierte Aufgaben auszuführen. Mithilfe von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die Verwendung bestimmter Berechtigungen auf einem oder mehreren Systemen nachverfolgen. Diese Kategorie umfasst die folgenden Unterkategorien:

DS-Zugriff

DS-Zugriff

DS Access-Sicherheitsüberwachungsrichtlinieneinstellungen bieten einen detaillierten Überwachungspfad für Versuche, auf Objekte in Active Directory Domain Services (AD DS) zuzugreifen und diese zu ändern. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert. Diese Kategorie umfasst die folgenden Unterkategorien:

Detaillierte Überwachung

Detaillierte Überwachung

Detaillierte Nachverfolgung von Sicherheitsrichtlinieneinstellungen und Überwachungsereignissen kann für folgende Zwecke verwendet werden:

So überwachen Sie die Aktivitäten einzelner Anwendungen und Benutzer auf diesem Computer
Um zu verstehen, wie ein Computer verwendet wird.
Diese Kategorie umfasst die folgenden Unterkategorien:

Globale Objektzugriffsüberwachung

Globale Objektzugriffsüberwachung

Mit den Richtlinieneinstellungen für die globale Objektzugriffsüberwachung können Administratoren Zugriffssteuerungslisten (SACLs) des Computersystems pro Objekttyp für das Dateisystem oder für die Registrierung definieren. Die angegebene SACL wird dann automatisch auf jedes Objekt dieses Typs angewendet. Auditoren können nachweisen, dass jede Ressource im System durch eine Überwachungsrichtlinie geschützt ist. Sie können diese Aufgabe ausführen, indem sie den Inhalt der Richtlinieneinstellungen für die globale Objektzugriffsüberwachung anzeigen. Wenn z. B. Auditoren eine Richtlinieneinstellung mit dem Namen "Alle von Gruppenadministratoren vorgenommenen Änderungen nachverfolgen" angezeigt wird, wissen sie, dass diese Richtlinie wirksam ist.

Ressourcen-SACLs sind auch für Diagnoseszenarien hilfreich. Administratoren können beispielsweise schnell erkennen, welches Objekt in einem System einem Benutzer den Zugriff verweigert, indem sie:

  • Festlegen der Globalen Objektzugriffsüberwachungsrichtlinie zum Protokollieren aller Aktivitäten für einen bestimmten Benutzer
  • Die Aktivierung der Richtlinie zum Nachverfolgen von "Zugriff verweigert"-Ereignissen für das Dateisystem oder die Registrierung kann hilfreich sein.

Hinweis
Wenn eine DATEI- oder Ordner-SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung (oder eine einzelne Registrierungseinstellung SACL und eine Richtlinieneinstellung für die globale Objektzugriffsüberwachung) auf einem Computer konfiguriert sind, wird die effektive SACL aus der Kombination der Datei oder des Ordners SACL und der Globalen Objektzugriffsüberwachungsrichtlinie abgeleitet. Dies bedeutet, dass ein Überwachungsereignis generiert wird, wenn eine Aktivität mit der Datei oder dem Ordner SACL oder der Globalen Objektzugriffsüberwachungsrichtlinie übereinstimmt.

Diese Kategorie umfasst die folgenden Unterkategorien:

Kontenverwaltung

Kontenverwaltung

Die Sicherheitsüberwachungsrichtlinieneinstellungen in dieser Kategorie können verwendet werden, um Änderungen an Benutzer- und Computerkonten und -gruppen zu überwachen. Diese Kategorie umfasst die folgenden Unterkategorien:

Kontoanmeldung

Kontoanmeldung

 Das Konfigurieren von Richtlinieneinstellungen in dieser Kategorie kann Ihnen helfen, Versuche zur Authentifizierung von Kontodaten auf einem Domänencontroller oder auf einem lokalen Security Accounts Manager (SAM) zu dokumentieren. Im Gegensatz zu Anmelde- und Abmelderichtlinieneinstellungen und -ereignissen konzentrieren sich Kontoanmeldeeinstellungen und -ereignisse auf die verwendete Kontodatenbank. Diese Kategorie umfasst die folgenden Unterkategorien:

Objektzugriff

Objektzugriff

Mithilfe von Richtlinieneinstellungen für den Objektzugriff und Überwachungsereignissen können Sie Versuche nachverfolgen, auf bestimmte Objekte oder Objekttypen in einem Netzwerk oder Computer zuzugreifen. Aktivieren Sie zum Überwachen von Versuchen, auf eine Datei, ein Verzeichnis, einen Registrierungsschlüssel oder ein anderes Objekt zuzugreifen, die entsprechende Unterkategorie der Objektzugriffsüberwachung auf Erfolgs- und/oder Fehlerereignisse. Beispielsweise muss die Dateisystemunterkategorie aktiviert sein, um Dateivorgänge zu überwachen. Die Registrierungsunterkategorie muss aktiviert sein, um Registrierungszugriffe zu überwachen.

Der Nachweis, dass diese Überwachungsrichtlinien für einen externen Prüfer wirksam sind, ist schwieriger. Es gibt keine einfache Möglichkeit, zu überprüfen, ob die richtigen SACLs für alle geerbten Objekte festgelegt sind. Informationen zum Beheben dieses Problems finden Sie unter "Globale Objektzugriffsüberwachung".

Diese Kategorie umfasst die folgenden Unterkategorien:

Richtlinienänderung

Richtlinienänderung

Mithilfe von Richtlinienänderungsüberwachungsereignissen können Sie Änderungen an wichtigen Sicherheitsrichtlinien in einem lokalen System oder Netzwerk nachverfolgen. Da Richtlinien in der Regel von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, ist das Nachverfolgen von Änderungen (oder deren Versuchen) an diesen Richtlinien ein wichtiger Aspekt der Sicherheitsverwaltung für ein Netzwerk. Diese Kategorie umfasst die folgenden Unterkategorien:

System

System

Mit systemsicherheitsrichtlinieneinstellungen und Überwachungsereignissen können Sie die folgenden Arten von Änderungen auf Systemebene an einem Computer nachverfolgen:

  • Nicht in anderen Kategorien enthalten
  • Potenzielle Auswirkungen auf die Sicherheit.

Diese Kategorie umfasst die folgenden Unterkategorien: