Verwalten von Überwachungs- und Sicherheitsprotokollen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Verwalten von Überwachungs- und Sicherheitsprotokollen beschrieben.
Referenz
Mit dieser Sicherheitseinstellung wird definiert, welche Benutzer Objektzugriff-Überwachungsoptionen für einzelne Ressourcen festlegen können, z. B. Dateien, Active Directory-Objekte und Registrierungsschlüssel. Diese Objekte geben ihre System-Zugriffssteuerungslisten (SACL) an. Ein Benutzer, dem dieses Benutzerrecht zugewiesen ist, kann auch das Sicherheitsprotokoll in der Ereignisanzeige anzeigen und löschen. Weitere Informationen zur Objektzugriff-Überwachungsrichtlinie finden Sie unter Objektzugriffsversuche überwachen.
Konstante: SeSecurityPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Administratoren
Nicht definiert
Bewährte Methoden
Überprüfen Sie, ob Anwendungen von diesem Recht abhängen, bevor Sie es aus einer Gruppe entfernen.
Im Allgemeinen ist es nicht notwendig, dieses Benutzerrecht anderen Gruppen als Administratoren zuzuweisen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Überprüfungen des Objektzugriffs werden nur durchgeführt, wenn Sie sie mit dem Editor für lokale Gruppenrichtlinien, der Gruppenrichtlinien-Verwaltungskonsole oder dem Befehlszeilentool Auditpol aktivieren.
Weitere Informationen zur Objektzugriff-Überwachungsrichtlinie finden Sie unter Objektzugriffsversuche überwachen.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jeder Benutzer mit dem Recht Verwalten von Überwachungs- und Sicherheitsprotokollen kann das Sicherheitsprotokoll löschen, um wichtige Nachweise nicht autorisierter Aktivitäten zu entfernen.
Gegenmaßnahme
Stellen Sie sicher, dass Sie das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokollen nur der lokalen Administratorengruppe zuweisen.
Mögliche Auswirkung
Die Einschränkung des Benutzerrechts Verwalten von Überwachungs- und Sicherheitsprotokollen auf die lokale Administratorengruppe ist die Standardkonfiguration.
Warnung
Wenn dieses Benutzerrecht anderen Benutzern als der lokalen Administratorengruppe zugewiesen ist, kann es beim Entfernen des Rechts möglicherweise zu Leistungsproblemen bei anderen Anwendungen kommen. Überprüfen Sie, ob Anwendungen von diesem Recht abhängen, bevor Sie es aus einer Gruppe entfernen.