Generieren von Sicherheitsüberwachungen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Generieren von Sicherheitsüberwachungen beschrieben.
Referenz
Diese Einstellung bestimmt, mit welchen Konten ein Prozess Überwachungsdatensätze im Sicherheitsereignisprotokoll generieren kann. Der Subsystemdienst für die lokale Sicherheitsautorität (LSASS) schreibt Ereignisse in das Protokoll. Anhand der Informationen im Sicherheitsereignisprotokoll können Sie nicht autorisierten Zugriff auf das Gerät nachverfolgen.
Konstante: SeAuditPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Lokaler Dienst
Netzwerkdienst
Bewährte Methoden
- Da das Überwachungsprotokoll eine potenzielle Angriffsrichtung darstellt, wenn die Sicherheit eines Kontos beeinträchtigt wurde, vergewissern Sie sich, dass das Benutzerrecht Generieren von Sicherheitsüberwachungen nur den Konten „Lokaler Dienst“ und „Netzwerkdienst“ zugewiesen ist.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Lokaler Dienst“ und „Netzwerkdienst“ auf Domänencontrollern und eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Lokaler Dienst Netzwerkdienst |
Standardeinstellungen für eigenständige Server |
Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Domänencontroller |
Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Clientcomputer |
Lokaler Dienst Netzwerkdienst |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Der Missbrauch dieses Benutzerrechts kann dazu führen, dass viele Überwachungsereignisse generiert oder die Hinweise auf einen Angriff potenziell verborgen werden oder ein Denial-of-Service-Zustand (DoS) ausgelöst wird, wenn die Sicherheitsrichtlinieneinstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können aktiviert ist.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Mit Konten, die zum Schreiben in das Sicherheitsprotokoll berechtigt sind, könnte ein böswilliger Benutzer dieses Protokoll mit bedeutungslosen Ereignissen füllen. Wenn der Computer so konfiguriert ist, dass Ereignisse im Bedarfsfall überschrieben werden, könnten böswillige Benutzer damit Hinweise auf ihre nicht autorisierten Aktivitäten entfernen. Wenn der Computer so konfiguriert ist, dass er heruntergefahren wird, wenn nicht in das Sicherheitsprotokoll geschrieben werden kann und das automatische Sichern der Protokolldateien nicht festgelegt ist, kann mit dieser Methode ein DoS-Zustand verursacht werden.
Gegenmaßnahme
Stellen Sie sicher, dass das Benutzerrecht Generieren von Sicherheitsüberwachungen nur den Konten „Lokaler Dienst“ und „Netzwerkdienst“ zugewiesen ist.
Mögliche Auswirkung
Keine. Das Beschränken des Benutzerrechts Generieren von Sicherheitsüberwachungen auf die Konten „Lokaler Dienst“ und „Netzwerkdienst“ ist die Standardkonfiguration.