Überwachen von Active Directory auf Anzeichen für einen KompromissMonitoring Active Directory for Signs of Compromise

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Gesetzes Nummer fünf: die ewige Wachsamkeit ist der Preis der Sicherheit.Law Number Five: Eternal vigilance is the price of security. - 10 unveränderliche Gesetze der Sicherheitsverwaltung - 10 Immutable Laws of Security Administration

Ein Solid-Ereignisprotokoll-Überwachungssystem ist ein wichtiger Bestandteil jedes sicheren Active Directory Entwurfs.A solid event log monitoring system is a crucial part of any secure Active Directory design. Viele Computer Sicherheits Kompromisse könnten frühzeitig erkannt werden, wenn die Opfer die entsprechende Überwachung und Warnungen für das Ereignisprotokoll erlassen haben.Many computer security compromises could be discovered early in the event if the victims enacted appropriate event log monitoring and alerting. Diese Schlussfolgerung wird von unabhängigen Berichten lange unterstützt.Independent reports have long supported this conclusion. Beispielsweise gibt der 2009 Verizon-Daten Verletzungs Bericht Folgendes an:For example, the 2009 Verizon Data Breach Report states:

"Die offensichtliche Ineffektivität der Ereignisüberwachung und der Protokollanalyse ist weiterhin etwas von einem Rätsel."The apparent ineffectiveness of event monitoring and log analysis continues to be somewhat of an enigma. Die Möglichkeit zur Erkennung ist: die Forscher haben festgestellt, dass 66 Prozent der Opfer in Ihren Protokollen über ausreichende Beweise verfügen, um die Verletzung zu ermitteln, was bei der Analyse solcher Ressourcen noch sorgfältiger war. "The opportunity for detection is there; investigators noted that 66 percent of victims had sufficient evidence available within their logs to discover the breach had they been more diligent in analyzing such resources."

Diese fehlende Überwachung von aktiven Ereignisprotokollen bleibt in den Sicherheits Verteidigungs Plänen vieler Unternehmen eine konsistente Schwachstelle.This lack of monitoring active event logs remains a consistent weakness in many companies' security defense plans. Der Bericht "2012 Verizon-Datenverletzung " hat festgestellt, dass es bei 84 Prozent der Opfer zu einer Sicherheitsverletzung in den Ereignisprotokollen gekommen ist, obwohl 85 Prozent der Verstöße einige Wochen in Anspruch genommen haben.The 2012 Verizon Data Breach report found that even though 85 percent of breaches took several weeks to be noticed, 84 percent of victims had evidence of the breach in their event logs.

Windows-ÜberwachungsrichtlinieWindows Audit Policy

Im folgenden finden Sie Links zum Microsoft Official Enterprise Support-Blog.The following are links to the Microsoft official enterprise support blog. Der Inhalt dieser Blogs bietet Ratschläge, Anleitungen und Empfehlungen zur Überwachung, die Sie bei der Verbesserung der Sicherheit Ihrer Active Directory Infrastruktur unterstützen und eine wertvolle Ressource beim Entwerfen einer Überwachungsrichtlinie sind.The content of these blogs provides advice, guidance, and recommendations about auditing that will assist you in enhancing the security of your Active Directory infrastructure and are a valuable resource when designing an audit policy.

Die folgenden Links enthalten Informationen zu Verbesserungen der Windows-Überwachung in Windows 8 und Windows Server 2012 sowie Informationen zur AD DS Überwachung in Windows Server 2008.The following links provide information about improvements to Windows auditing in Windows 8 and Windows Server 2012, and information about AD DS auditing in Windows Server 2008.

  • Neues bei der Sicherheits Überwachung: bietet eine Übersicht über die neuen Sicherheits Überprüfungs Features in Windows 8 und Windows Server 2012.What's New in Security Auditing - provides an overview of new security auditing features in Windows 8 and Windows Server 2012.
  • Schritt-für-Schritt-Anleitung für die AD DS Überwachung: Beschreibt das neue Active Directory Domain Services (AD DS)-Überwachungs Feature in Windows Server 2008.AD DS Auditing Step-by-Step Guide - describes the new Active Directory Domain Services (AD DS) auditing feature in Windows Server 2008. Außerdem werden Verfahren zur Implementierung dieses neuen Features bereitstellt.It also provides procedures to implement this new feature.

Windows-Überwachungs KategorienWindows Audit Categories

Vor Windows Vista und Windows Server 2008 verfügte Windows nur über neun Kategorien von Ereignisprotokoll-Überwachungs Richtlinien:Prior to Windows Vista and Windows Server 2008, Windows had only nine event log audit policy categories:

  • Konto Anmelde EreignisseAccount Logon Events
  • KontoverwaltungAccount Management
  • Verzeichnisdienst ZugriffDirectory Service Access
  • Anmelde EreignisseLogon Events
  • ObjektzugriffObject Access
  • RichtlinienänderungPolicy Change
  • BerechtigungenPrivilege Use
  • Prozess NachverfolgungProcess Tracking
  • System EreignisseSystem Events

Diese neun herkömmlichen Überwachungs Kategorien bestehen aus einer Überwachungsrichtlinie.These nine traditional audit categories comprise an audit policy. Jede Überwachungs Richtlinien Kategorie kann für Erfolgs-, Fehler-oder Erfolgs-und Fehlerereignisse aktiviert werden.Each audit policy category can be enabled for Success, Failure, or Success and Failure events. Ihre Beschreibungen sind im nächsten Abschnitt enthalten.Their descriptions are included in the next section.

Beschreibungen der Kategorien der ÜberwachungsrichtlinieAudit Policy Category Descriptions

Die Kategorien der Überwachungs Richtlinien ermöglichen die folgenden Ereignisprotokoll-Nachrichten Typen.The audit policy categories enable the following event log message types.

Konto Anmelde Ereignisse überwachenAudit Account Logon Events

Meldet jede Instanz eines Sicherheits Prinzipals (z. b. Benutzer, Computer oder Dienst Konto), die sich bei einem Computer anmeldet, bei dem ein anderer Computer verwendet wird, um das Konto zu überprüfen.Reports each instance of a security principal (for example, user, computer, or service account) that is logging on to or logging off from one computer in which another computer is used to validate the account. Konto Anmelde Ereignisse werden generiert, wenn ein Domänen Sicherheits Prinzipal Konto auf einem Domänen Controller authentifiziert wird.Account logon events are generated when a domain security principal account is authenticated on a domain controller. Bei der Authentifizierung eines lokalen Benutzers auf einem lokalen Computer wird ein Anmelde Ereignis generiert, das im lokalen Sicherheitsprotokoll protokolliert wird.Authentication of a local user on a local computer generates a logon event that is logged in the local security log. Es werden keine Konto Abmelde Ereignisse protokolliert.No account logoff events are logged.

Diese Kategorie generiert ein hohes Maß an "Rauschen", da Windows sich ständig im normalen Geschäftsbetrieb auf dem lokalen Computer und dem Remote Computer anmeldet.This category generates a lot of "noise" because Windows is constantly having accounts logging on to and off of the local and remote computers during the normal course of business. Dennoch sollte jeder Sicherheitsplan den Erfolg und das Fehlschlagen dieser Überwachungs Kategorie einschließen.Still, any security plan should include the success and failure of this audit category.

Kontoverwaltung überwachenAudit Account Management

Diese Überwachungs Einstellung bestimmt, ob die Verwaltung von Benutzern und Gruppen nachverfolgt wird.This audit setting determines whether to track management of users and groups. Benutzer und Gruppen sollten z. b. nachverfolgt werden, wenn ein Benutzer-oder Computer Konto, eine Sicherheitsgruppe oder eine Verteiler Gruppe erstellt, geändert oder gelöscht wird. Wenn ein Benutzer-oder Computer Konto umbenannt, deaktiviert oder aktiviert wird. oder wenn ein Benutzer-oder Computer Kennwort geändert wird.For example, users and groups should be tracked when a user or computer account, a security group, or a distribution group is created, changed, or deleted; when a user or computer account is renamed, disabled, or enabled; or when a user or computer password is changed. Ein Ereignis kann für Benutzer oder Gruppen generiert werden, die hinzugefügt oder aus anderen Gruppen entfernt werden.An event can be generated for users or groups that are added to or removed from other groups.

Verzeichnisdienstzugriff überwachenAudit Directory Service Access

Mit dieser Richtlinien Einstellung wird festgelegt, ob der Sicherheits Prinzipal Zugriff auf ein Active Directory Objekt überwachen soll, das über eine eigene angegebene System Zugriffs Steuerungs Liste (SACL) verfügt.This policy setting determines whether to audit security principal access to an Active Directory object that has its own specified system access control list (SACL). Im Allgemeinen sollte diese Kategorie nur auf Domänen Controllern aktiviert werden.In general, this category should only be enabled on domain controllers. Wenn diese Einstellung aktiviert ist, wird viel "Rauschen" generiert.When enabled, this setting generates a lot of "noise."

Anmelde Ereignisse überwachenAudit Logon Events

Anmelde Ereignisse werden generiert, wenn ein lokaler Sicherheits Prinzipal auf einem lokalen Computer authentifiziert wird.Logon events are generated when a local security principal is authenticated on a local computer. Anmelde Ereignisse erfasst Domänen Anmeldungen, die auf dem lokalen Computer ausgeführt werden.Logon Events records domain logons that occur on the local computer. Kontoabmeldeereignisse werden nicht generiert.Account logoff events are not generated. Wenn diese Option aktiviert ist, werden bei Anmelde Ereignissen viele "Geräusche" generiert, Sie sollten jedoch standardmäßig in jedem Sicherheits Prüfungsplan aktiviert werden.When enabled, Logon Events generates a lot of "noise," but they should be enabled by default in any security auditing plan.

Überwachen des Objekt ZugriffsAudit Object Access

Der Objektzugriff kann Ereignisse generieren, wenn auf anschließend definierte Objekte zugegriffen wird, für die die Überwachung aktiviert ist (z. b. öffnen, lesen, umbenennen, löschen oder schließen).Object Access can generate events when subsequently defined objects with auditing enabled are accessed (for example, Opened, Read, Renamed, Deleted, or Closed). Nachdem die Haupt Überwachungs Kategorie aktiviert ist, muss der Administrator einzeln definieren, für welche Objekte die Überwachung aktiviert wird.After the main auditing category is enabled, the administrator must individually define which objects will have auditing enabled. Bei vielen Windows-System Objekten wird die Überwachung aktiviert. Daher beginnt die Aktivierung dieser Kategorie in der Regel damit, Ereignisse zu generieren, bevor der Administrator eine beliebige definiert hat.Many Windows system objects come with auditing enabled, so enabling this category will usually begin to generate events before the administrator has defined any.

Diese Kategorie ist äußerst "noisy" und generiert fünf bis zehn Ereignisse für jeden Objektzugriff.This category is very "noisy" and will generate five to ten events for each object access. Es kann schwierig sein, die Objektüberwachung für Administratoren neu zu machen, um nützliche Informationen zu erhalten.It can be difficult for administrators new to object auditing to gain useful information. Sie sollte nur bei Bedarf aktiviert werden.It should only be enabled when needed.

Überwachen der Richtlinien ÄnderungAuditing Policy Change

Mit dieser Richtlinien Einstellung wird festgelegt, ob jedes Auftreten einer Änderung an Benutzerrechte Zuweisungs Richtlinien, Windows-Firewall-Richtlinien, Vertrauensstellungs Richtlinien oder Änderungen an der Überwachungsrichtlinie überprüft werden soll.This policy setting determines whether to audit every incidence of a change to user rights assignment policies, Windows Firewall policies, Trust policies, or changes to the audit policy. Diese Kategorie sollte auf allen Computern aktiviert werden.This category should be enabled on all computers. Er erzeugt sehr wenig Rauschen.It generates very little noise.

Verwendung von Überwachungs BerechtigungenAudit Privilege Use

Es gibt Dutzende von Benutzerrechten und-Berechtigungen in Windows (z. b. als Batch Auftrag anmelden und als Teil des Betriebssystems fungieren).There are dozens of user rights and permissions in Windows (for example, Logon as a Batch Job and Act as Part of the Operating System). Mit dieser Richtlinien Einstellung wird festgelegt, ob jede Instanz eines Sicherheits Prinzipals überprüft werden soll, indem ein Benutzerrecht oder eine Berechtigung für SieThis policy setting determines whether to audit each instance of a security principal by exercising a user right or privilege. Das Aktivieren dieser Kategorie führt zu einem hohen "Rauschen", aber es kann hilfreich sein, um Sicherheits Prinzipal Konten mithilfe erweiterter Berechtigungen zu überwachen.Enabling this category results in a lot of "noise," but it can be helpful in tracking security principal accounts using elevated privileges.

Überwachungsprozess VerfolgungAudit Process Tracking

Mit dieser Richtlinien Einstellung wird festgelegt, ob ausführliche Prozess nach Verfolgungs Informationen für Ereignisse wie Programm Aktivierung, Prozess Beendigung, Duplizierung von Objekten und indirekter Objektzugriff überwacht werden sollen.This policy setting determines whether to audit detailed process tracking information for events such as program activation, process exit, handle duplication, and indirect object access. Es ist nützlich, wenn böswillige Benutzer und die von Ihnen verwendeten Programme nachverfolgt werden.It is useful for tracking malicious users and the programs they use.

Durch das Aktivieren der Überwachungsprozess Verfolgung wird eine große Anzahl von Ereignissen generiert, sodass Sie in der Regel auf keine Überwachung festgelegt ist.Enabling Audit Process Tracking generates a large number of events, so typically it is set to No Auditing. Diese Einstellung kann jedoch während einer Reaktion auf Vorfälle aus dem detaillierten Protokoll der gestarteten Prozesse und der Startzeit des Starts einen großen Vorteil bieten.However, this setting can provide a great benefit during an incident response from the detailed log of the processes started and the time they were launched. Für Domänen Controller und andere Infrastruktur Server mit nur einer Rolle kann diese Kategorie sicher jederzeit aktiviert werden.For domain controllers and other single-role infrastructure servers, this category can be safely turned on all the time. Einzelne Rollen Server generieren im normalen Verlauf ihrer Aufgaben keinen großen Prozess nach Verfolgungs Datenverkehr.Single role servers do not generate much process tracking traffic during the normal course of their duties. Daher können Sie aktiviert werden, um nicht autorisierte Ereignisse zu erfassen, wenn Sie auftreten.As such, they can be enabled to capture unauthorized events if they occur.

Überwachung von System EreignissenSystem Events Audit

System Ereignisse sind fast eine generische Catch-All-Kategorie, bei der verschiedene Ereignisse registriert werden, die Auswirkungen auf den Computer, die Systemsicherheit oder das Sicherheitsprotokoll haben.System Events is almost a generic catch-all category, registering various events that impact the computer, its system security, or the security log. Es umfasst Ereignisse für das Herunterfahren und Neustarten von Computern, Stromausfälle, Systemzeit Änderungen, Authentifizierungs Paket Initialisierungen, Überprüfungen des Überwachungs Protokolls, Identitätswechsel Probleme und einen Host anderer allgemeiner Ereignisse.It includes events for computer shutdowns and restarts, power failures, system time changes, authentication package initializations, audit log clearings, impersonation issues, and a host of other general events. Im allgemeinen generiert die Aktivierung dieser Überwachungs Kategorie viel "Rauschen", aber Sie generiert genug sehr nützliche Ereignisse, die nicht jemals empfohlen werden, Sie zu aktivieren.In general, enabling this audit category generates a lot of "noise," but it generates enough very useful events that it is difficult to ever recommend not enabling it.

Erweiterte Überwachungs RichtlinienAdvanced Audit Policies

Ab Windows Vista und Windows Server 2008 hat Microsoft die Auswahlmöglichkeiten für die Ereignisprotokoll Kategorie verbessert, indem Unterkategorien unter jeder Haupt Überwachungs Kategorie erstellt werden.Starting with Windows Vista and Windows Server 2008, Microsoft improved the way event log category selections can be made by creating subcategories under each main audit category. Unterkategorien ermöglichen eine weitaus differenziertere Überwachung, als andernfalls die Hauptkategorien.Subcategories allow auditing to be far more granular than it could otherwise by using the main categories. Mithilfe von Unterkategorien können Sie nur Teile einer bestimmten Hauptkategorie aktivieren und das Erstellen von Ereignissen, für die Sie keine Verwendung haben, überspringen.By using subcategories, you can enable only portions of a particular main category, and skip generating events for which you have no use. Jede Unterkategorie der Überwachungsrichtlinie kann für Ereignisse durch Erfolg, Fehler oder Erfolg und Fehler aktiviert werden.Each audit policy subcategory can be enabled for Success, Failure, or Success and Failure events.

Überprüfen Sie zum Auflisten aller verfügbaren Überwachungs Unterkategorien den erweiterten Überwachungs Richtlinien Container in einem Gruppenrichtlinie Objekt, oder geben Sie an einer Eingabeaufforderung auf einem beliebigen Computer unter Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008, Windows 8, Windows 7 oder Windows Vista Folgendes ein:To list all the available auditing subcategories, review the Advanced Audit Policy container in a Group Policy Object, or type the following at a command prompt on any computer running Windows Server 2012, Windows Server 2008 R2, or Windows Server 2008, Windows 8, Windows 7, or Windows Vista:

auditpol /list /subcategory:*

Geben Sie Folgendes ein, um eine Liste der derzeit konfigurierten Überwachungs Unterkategorien auf einem Computer zu erhalten, auf dem Windows Server 2012, Windows Server 2008 R2 oder Windows 2008 ausgeführt wird:To get a list of currently configured auditing subcategories on a computer running Windows Server 2012, Windows Server 2008 R2, or Windows 2008, type the following:

auditpol /get /category:*

Der folgende Screenshot zeigt ein Beispiel für das auditpol.exe Auflisten der aktuellen Überwachungsrichtlinie.The following screenshot shows an example of auditpol.exe listing the current audit policy.

Screenshot, der ein Beispiel für das Auflisten der aktuellen Überwachungsrichtlinie auditpol.exe.

Hinweis

Gruppenrichtlinie gibt nicht immer genau den Status aller aktivierten Überwachungs Richtlinien aus, wohingegen auditpol.exe.Group Policy does not always accurately report the status of all enabled auditing policies, whereas auditpol.exe does. Weitere Informationen finden Sie unter erhalten der effektiven Überwachungsrichtlinie in Windows 7 und 2008 R2 .See Getting the Effective Audit Policy in Windows 7 and 2008 R2 for more details.

Jede Hauptkategorie verfügt über mehrere Unterkategorien.Each main category has multiple subcategories. Im folgenden finden Sie eine Liste der Kategorien, ihrer Unterkategorien und eine Beschreibung ihrer Funktionen.Below is a list of categories, their subcategories, and a description of their functions.

Beschreibungen von Unterkategorien überwachenAuditing Subcategories Descriptions

Unterkategorien der Überwachungsrichtlinie aktivieren die folgenden Ereignisprotokoll-Nachrichten Typen:Audit policy subcategories enable the following event log message types:

KontoanmeldungAccount Logon

Überprüfung der AnmeldeinformationenCredential Validation

Diese Unterkategorie meldet die Ergebnisse von Validierungstests bei Anmelde Informationen, die für eine Benutzerkonto-Anmelde Anforderung gesendet wurden.This subcategory reports the results of validation tests on credentials submitted for a user account logon request. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist.These events occur on the computer that is authoritative for the credentials. Bei Domänen Konten ist der Domänen Controller autorisierend, während für lokale Konten der lokale Computer autorisierend ist.For domain accounts, the domain controller is authoritative, whereas for local accounts, the local computer is authoritative.

In Domänen Umgebungen werden die meisten Konto Anmelde Ereignisse im Sicherheitsprotokoll der Domänen Controller protokolliert, die für die Domänen Konten autorisierend sind.In domain environments, most of the account logon events are logged in the security log of the domain controllers that are authoritative for the domain accounts. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten verwendet werden, um sich anzumelden.However, these events can occur on other computers in the organization when local accounts are used to log on.

Ticketvorgänge des Kerberos-DienstsKerberos Service Ticket Operations

Diese Unterkategorie meldet Ereignisse, die von Kerberos-Ticket Anforderungs Prozessen auf dem Domänen Controller generiert werden, der für das Domänen Konto autorisierend ist.This subcategory reports events generated by Kerberos ticket request processes on the domain controller that is authoritative for the domain account.

Kerberos-AuthentifizierungsdienstKerberos Authentication Service

Diese Unterkategorie meldet Ereignisse, die vom Kerberos-Authentifizierungsdienst generiert wurden.This subcategory reports events generated by the Kerberos authentication service. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist.These events occur on the computer that is authoritative for the credentials.

Andere KontoanmeldungsereignisseOther Account Logon Events

Diese Unterkategorie gibt Aufschluss über die Ereignisse, die als Reaktion auf Anmelde Informationen auftreten, die für eine Benutzerkonto-Anmelde Anforderung gesendet werden und sich nicht auf die Überprüfung der Anmelde Informationen oder Kerberos-Tickets beziehenThis subcategory reports the events that occur in response to credentials submitted for a user account logon request that do not relate to credential validation or Kerberos tickets. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist.These events occur on the computer that is authoritative for the credentials. Bei Domänen Konten ist der Domänen Controller autorisierend, während für lokale Konten der lokale Computer autorisierend ist.For domain accounts, the domain controller is authoritative, whereas for local accounts, the local computer is authoritative.

In Domänen Umgebungen werden die meisten Konto Anmelde Ereignisse im Sicherheitsprotokoll der Domänen Controller protokolliert, die für die Domänen Konten autorisierend sind.In domain environments, most account logon events are logged in the security log of the domain controllers that are authoritative for the domain accounts. Diese Ereignisse können jedoch auf anderen Computern in der Organisation auftreten, wenn lokale Konten verwendet werden, um sich anzumelden.However, these events can occur on other computers in the organization when local accounts are used to log on. Beispiele sind etwa:Examples can include the following:

  • Remotedesktopdienste Sitzungs disverbindungenRemote Desktop Services session disconnections
  • Neue Remotedesktopdienste SitzungenNew Remote Desktop Services sessions
  • Sperren und Entsperren einer ArbeitsstationLocking and unlocking a workstation
  • Aufrufen eines BildschirmschonersInvoking a screen saver
  • Schließen eines BildschirmschonersDismissing a screen saver
  • Erkennung eines Kerberos Replay-Angriffs, bei dem eine Kerberos-Anforderung mit identischen Informationen zweimal empfangen wirdDetection of a Kerberos replay attack, in which a Kerberos request with identical information is received twice
  • Gewähren des Zugriffs zu einem drahtlosen Netzwerk für ein Benutzer- oder ComputerkontoAccess to a wireless network granted to a user or computer account
  • Gewähren des Zugriffs zu einem kabelgebundenen 802.1x-Netzwerk für ein Benutzer- oder ComputerkontoAccess to a wired 802.1x network granted to a user or computer account

KontoverwaltungAccount Management

BenutzerkontenverwaltungUser Account Management

Diese Unterkategorie meldet jedes Ereignis der Benutzerkonten Verwaltung, z. b. Wenn ein Benutzerkonto erstellt, geändert oder gelöscht wird. ein Benutzerkonto wurde umbenannt, deaktiviert oder aktiviert. oder es wird ein Kennwort festgelegt oder geändert.This subcategory reports each event of user account management, such as when a user account is created, changed, or deleted; a user account is renamed, disabled, or enabled; or a password is set or changed. Wenn diese Überwachungs Richtlinien Einstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Benutzerkonten zu erkennen.If this audit policy setting is enabled, administrators can track events to detect malicious, accidental, and authorized creation of user accounts.

Computer KontoverwaltungComputer Account Management

Diese Unterkategorie meldet jedes Ereignis der Computer Kontoverwaltung, z. b. beim Erstellen, ändern, löschen, umbenennen, deaktivieren oder Aktivieren eines Computer Kontos.This subcategory reports each event of computer account management, such as when a computer account is created, changed, deleted, renamed, disabled, or enabled.

Verwaltung von SicherheitsgruppenSecurity Group Management

Diese Unterkategorie meldet jedes Ereignis der Sicherheitsgruppen Verwaltung, z. b. Wenn eine Sicherheitsgruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied einer Sicherheitsgruppe hinzugefügt bzw. aus dieser entfernt wird.This subcategory reports each event of security group management, such as when a security group is created, changed, or deleted or when a member is added to or removed from a security group. Wenn diese Überwachungs Richtlinien Einstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Sicherheitsgruppen Konten zu erkennen.If this audit policy setting is enabled, administrators can track events to detect malicious, accidental, and authorized creation of security group accounts.

Verteiler GruppenverwaltungDistribution Group Management

Diese Unterkategorie meldet jedes Ereignis der Verteiler Gruppenverwaltung, z. b. Wenn eine Verteiler Gruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied einer Verteiler Gruppe hinzugefügt oder daraus entfernt wird.This subcategory reports each event of distribution group management, such as when a distribution group is created, changed, or deleted or when a member is added to or removed from a distribution group. Wenn diese Überwachungs Richtlinien Einstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Gruppenkonten zu erkennen.If this audit policy setting is enabled, administrators can track events to detect malicious, accidental, and authorized creation of group accounts.

Anwendungs GruppenverwaltungApplication Group Management

Diese Unterkategorie meldet jedes Ereignis der Anwendungs Gruppenverwaltung auf einem Computer, z. b. Wenn eine Anwendungs Gruppe erstellt, geändert oder gelöscht wird oder wenn ein Mitglied einer Anwendungs Gruppe hinzugefügt oder daraus entfernt wird.This subcategory reports each event of application group management on a computer, such as when an application group is created, changed, or deleted or when a member is added to or removed from an application group. Wenn diese Überwachungs Richtlinien Einstellung aktiviert ist, können Administratoren Ereignisse nachverfolgen, um eine böswillige, versehentliche und autorisierte Erstellung von Anwendungs Gruppenkonten zu erkennen.If this audit policy setting is enabled, administrators can track events to detect malicious, accidental, and authorized creation of application group accounts.

Andere Konto Verwaltungs EreignisseOther Account Management Events

Diese Unterkategorie meldet andere Konto Verwaltungs Ereignisse.This subcategory reports other account management events.

Ausführliche Prozess NachverfolgungDetailed Process Tracking

ProzesserstellungProcess Creation

Diese Unterkategorie meldet die Erstellung eines Prozesses und den Namen des Benutzers oder Programms, der ihn erstellt hat.This subcategory reports the creation of a process and the name of the user or program that created it.

Prozess BeendigungProcess Termination

Diese Unterkategorie meldet, wenn ein Prozess beendet wird.This subcategory reports when a process terminates.

DPAPI-AktivitätDPAPI Activity

In dieser Unterkategorie werden Aufrufe an die DPAPI (Data Protection Application Programming Interface) verschlüsselt oder entschlüsselt.This subcategory reports encrypt or decrypt calls into the data protection application programming interface (DPAPI). DPAPI wird zum Schutz geheimer Informationen verwendet, wie z. b. gespeicherte Kenn Wörter und Schlüsselinformationen.DPAPI is used to protect secret information such as stored password and key information.

RPC-EreignisseRPC Events

Diese Unterkategorie meldet Remote Prozedur Aufruf-Verbindungs Ereignisse (RPC).This subcategory reports remote procedure call (RPC) connection events.

Verzeichnisdienst ZugriffDirectory Service Access

Verzeichnisdienst ZugriffDirectory Service Access

Diese Unterkategorie meldet, wenn auf ein AD DS Objekt zugegriffen wird.This subcategory reports when an AD DS object is accessed. Nur Objekte mit konfigurierten SACLs bewirken, dass Überwachungs Ereignisse generiert werden, und zwar nur, wenn auf Sie in einer Weise zugegriffen wird, die mit den SACL-Einträgen übereinstimmt.Only objects with configured SACLs cause audit events to be generated, and only when they are accessed in a manner that matches the SACL entries. Diese Ereignisse ähneln den Verzeichnisdienst-Zugriffs Ereignissen in früheren Versionen von Windows Server.These events are similar to the directory service access events in earlier versions of Windows Server. Diese Unterkategorie gilt nur für Domänen Controller.This subcategory applies only to domain controllers.

Verzeichnisdienst ÄnderungenDirectory Service Changes

Diese Unterkategorie meldet Änderungen an Objekten in AD DS.This subcategory reports changes to objects in AD DS. Die gemeldeten Änderungs Typen sind Create-, Modify-, Move-und Wiederherstellen-Vorgänge, die für ein-Objekt ausgeführt werden.The types of changes that are reported are create, modify, move, and undelete operations that are performed on an object. Die Verzeichnisdienst-Änderungs Überwachung gibt ggf. die alten und neuen Werte der geänderten Eigenschaften der Objekte an, die geändert wurden.Directory service change auditing, where appropriate, indicates the old and new values of the changed properties of the objects that were changed. Nur Objekte mit SACLs bewirken, dass Überwachungs Ereignisse generiert werden, und zwar nur, wenn auf Sie in einer Weise darauf zugegriffen wird, dass Sie mit ihren SACL-Einträgen übereinstimmt.Only objects with SACLs cause audit events to be generated, and only when they are accessed in a manner that matches their SACL entries. Einige Objekte und Eigenschaften lösen aufgrund der Einstellungen der Objektklasse im Schema keine Überwachungsereignisse aus.Some objects and properties do not cause audit events to be generated due to settings on the object class in the schema. Diese Unterkategorie gilt nur für Domänen Controller.This subcategory applies only to domain controllers.

VerzeichnisdienstreplikationDirectory Service Replication

Diese Unterkategorie meldet, wenn die Replikation zwischen zwei Domänen Controllern beginnt und endet.This subcategory reports when replication between two domain controllers begins and ends.

Ausführliche Verzeichnisdienst ReplikationDetailed Directory Service Replication

Diese Unterkategorie meldet ausführliche Informationen zu den Informationen, die zwischen Domänen Controllern repliziert werden.This subcategory reports detailed information about the information replicated between domain controllers. Diese Ereignisse können sehr hoch sein.These events can be very high in volume.

Anmeldung/AbmeldungLogon/Logoff

AnmeldenLogon

Diese Unterkategorie meldet, wenn ein Benutzer versucht, sich am System anzumelden.This subcategory reports when a user attempts to log on to the system. Diese Ereignisse erfolgen auf dem Computer, auf den zugegriffen wird.These events occur on the accessed computer. Bei interaktiven Anmeldungen tritt die Generierung dieser Ereignisse auf dem Computer auf, der bei angemeldet ist.For interactive logons, the generation of these events occurs on the computer that is logged on to. Wenn für den Zugriff auf eine Freigabe eine Netzwerk Anmeldung erfolgt, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird.If a network logon takes place to access a share, these events generate on the computer that hosts the accessed resource. Wenn diese Einstellung auf keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich, zu ermitteln, auf welchen Benutzer zugegriffen wurde oder ob er auf Organisations Computer zugegriffen hat.If this setting is configured to No auditing, it is difficult or impossible to determine which user has accessed or attempted to access organization computers.

NetzwerkrichtlinienserverNetwork Policy Server

Diese Unterkategorie meldet Ereignisse, die von RADIUS-(IAS) und NAP-Benutzer Zugriffs Anforderungen (Network Access Protection) generiert wurden.This subcategory reports events generated by RADIUS (IAS) and Network Access Protection (NAP) user access requests. Diese Anforderungen können Grant, Deny, verwerfen, Quarantäne, Lock und Unlock sein.These requests can be Grant, Deny, Discard, Quarantine, Lock, and Unlock. Wenn Sie diese Einstellung überwachen, führt dies zu einer mittleren oder großen Anzahl von Datensätzen auf NPS-und IAS-Servern.Auditing this setting will result in a medium or high volume of records on NPS and IAS servers.

IPSec-HauptmodusIPsec Main Mode

Diese Unterkategorie meldet die Ergebnisse des Internetschlüsselaustausch (IKE)-Protokolls und authentifiziertes Internetprotokoll (AuthIP) während der Hauptmodusverhandlung.This subcategory reports the results of Internet Key Exchange (IKE) protocol and Authenticated Internet Protocol (AuthIP) during Main Mode negotiations.

Erweiterter IPSec-ModusIPsec Extended Mode

Diese Unterkategorie meldet die Ergebnisse von AuthIP während der Aushandlungen im erweiterten Modus.This subcategory reports the results of AuthIP during Extended Mode negotiations.

Andere Anmelde-/Abmelde EreignisseOther Logon/Logoff Events

Diese Unterkategorie meldet andere Anmelde-und Abmelde bezogene Ereignisse, z. b. Remotedesktopdienste Sitzung die Verbindung trennt und die Verbindung wiederherstellt, mithilfe von runas Prozesse unter einem anderen Konto ausführen und eine Arbeitsstation sperren und entsperren.This subcategory reports other logon and logoff-related events, such as Remote Desktop Services session disconnects and reconnects, using RunAs to run processes under a different account, and locking and unlocking a workstation.

Abmelden (Logoff)Logoff

Diese Unterkategorie meldet, wenn sich ein Benutzer beim System anmeldet.This subcategory reports when a user logs off the system. Diese Ereignisse erfolgen auf dem Computer, auf den zugegriffen wird.These events occur on the accessed computer. Bei interaktiven Anmeldungen tritt die Generierung dieser Ereignisse auf dem Computer auf, der bei angemeldet ist.For interactive logons, the generation of these events occurs on the computer that is logged on to. Wenn für den Zugriff auf eine Freigabe eine Netzwerk Anmeldung erfolgt, werden diese Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wird.If a network logon takes place to access a share, these events generate on the computer that hosts the accessed resource. Wenn diese Einstellung auf keine Überwachung konfiguriert ist, ist es schwierig oder unmöglich, zu ermitteln, auf welchen Benutzer zugegriffen wurde oder ob er auf Organisations Computer zugegriffen hat.If this setting is configured to No auditing, it is difficult or impossible to determine which user has accessed or attempted to access organization computers.

KontosperrungAccount Lockout

In dieser Unterkategorie wird berichtet, wenn das Konto eines Benutzers aufgrund zu vieler fehlgeschlagener Anmeldeversuche gesperrt ist.This subcategory reports when a user's account is locked out as a result of too many failed logon attempts.

IPSec-SchnellmodusIPsec Quick Mode

Diese Unterkategorie meldet die Ergebnisse von IKE-Protokoll und AuthIP während der Schnellmodus-Verhandlung.This subcategory reports the results of IKE protocol and AuthIP during Quick Mode negotiations.

Besondere AnmeldungSpecial Logon

Diese Unterkategorie meldet, wenn eine spezielle Anmeldung verwendet wird.This subcategory reports when a special logon is used. Eine spezielle Anmeldung ist eine Anmeldung mit entsprechenden Administratorrechten und kann verwendet werden, um einen Prozess auf eine höhere Ebene zu erhöhen.A special logon is a logon that has administrator equivalent privileges and can be used to elevate a process to a higher level.

RichtlinienänderungPolicy Change

Richtlinienänderungen überwachenAudit Policy Change

Diese Unterkategorie meldet Änderungen in der Überwachungsrichtlinie einschließlich SACL-Änderungen.This subcategory reports changes in audit policy including SACL changes.

Änderung der Authentifizierungs RichtlinieAuthentication Policy Change

Diese Unterkategorie meldet Änderungen in der Authentifizierungs Richtlinie.This subcategory reports changes in authentication policy.

Autorisierungs Richtlinien ÄnderungAuthorization Policy Change

Diese Unterkategorie meldet Änderungen an der Autorisierungs Richtlinie einschließlich der Änderungen an Berechtigungen (DACL).This subcategory reports changes in authorization policy including permissions (DACL) changes.

Mpssvc-Rule-Level Richtlinien ÄnderungMPSSVC Rule-Level Policy Change

Diese Unterkategorie meldet Änderungen in Richtlinien Regeln, die vom Microsoft Protection Service (MPSSVC.exe) verwendet werden.This subcategory reports changes in policy rules used by the Microsoft Protection Service (MPSSVC.exe). Dieser Dienst wird von der Windows-Firewall verwendet.This service is used by Windows Firewall.

Filtern von Platt Form Richtlinien ÄnderungenFiltering Platform Policy Change

Diese Unterkategorie meldet das Hinzufügen und Entfernen von Objekten aus WFP, einschließlich Start filtern.This subcategory reports the addition and removal of objects from WFP, including startup filters. Diese Ereignisse können sehr hoch sein.These events can be very high in volume.

Andere Richtlinien Änderungs EreignisseOther Policy Change Events

In dieser Unterkategorie werden andere Arten von Sicherheitsrichtlinien Änderungen gemeldet, z. b. die Konfiguration der Trusted Platform Module (TPM) oder Kryptografieanbieter.This subcategory reports other types of security policy changes such as configuration of the Trusted Platform Module (TPM) or cryptographic providers.

BerechtigungenPrivilege Use

Verwendung vertraulicher BerechtigungenSensitive Privilege Use

In dieser Unterkategorie wird berichtet, wenn ein Benutzerkonto oder ein Dienst vertrauliche Berechtigungen verwendet.This subcategory reports when a user account or service uses a sensitive privilege. Eine vertrauliche Berechtigung umfasst die folgenden Benutzerrechte: agieren als Teil des Betriebssystems, Sichern von Dateien und Verzeichnissen, Erstellen eines Tokenobjekts, Debuggen von Programmen, Aktivieren von Computer-und Benutzerkonten für die Delegierung, Generieren von Sicherheits Überwachungen, annehmen der Identität eines Clients nach der Authentifizierung, laden und Entladen von Gerätetreibern, Verwalten der Überwachung und des Sicherheitsprotokolls , Wiederherstellen von Dateien und Verzeichnissen und übernehmen des Besitzes von Dateien oder anderen Objekten.A sensitive privilege includes the following user rights: act as part of the operating system, back up files and directories, create a token object, debug programs, enable computer and user accounts to be trusted for delegation, generate security audits, impersonate a client after authentication, load and unload device drivers, manage auditing and security log, modify firmware environment values, replace a process-level token, restore files and directories, and take ownership of files or other objects. Durch das Überwachen dieser Unterkategorie wird eine große Anzahl von Ereignissen erzeugt.Auditing this subcategory will create a high volume of events.

Verwendung nicht sensibler BerechtigungenNonsensitive Privilege Use

Diese Unterkategorie meldet, wenn ein Benutzerkonto oder ein Dienst eine nicht vertrauliche Berechtigung verwendet.This subcategory reports when a user account or service uses a nonsensitive privilege. Eine nicht vertrauliche Berechtigung umfasst die folgenden Benutzerrechte: Access Credential Manager als vertrauenswürdiger Aufrufer, zugreifen auf diesen Computer über das Netzwerk, Hinzufügen von Arbeitsstationen zur Domäne, Anpassen von Speicher Kontingenten für einen Prozess, zulassen der lokalen Anmeldung, zulassen der Anmeldung über Remotedesktopdienste, umgehen der traversierungs Überprüfung, Ändern der Systemzeit, Erstellen einer Pagefile, Erstellen globaler Objekte , verweigern Sie den Zugriff auf diesen Computer über das Netzwerk, verweigern Sie die Anmeldung als Batch Auftrag, verweigern Sie die Anmeldung als Dienst, verweigern Sie die Protokollierung, verweigern Sie die Anmeldung über Remotedesktopdienste, erzwingen Sie das Herunterfahren von einem Remote System, ändern Sie die Zeit, und ändern Sie eine Objekt Bezeichnung. , Ausführen von volumewartungstasks, Profilerstellung für einen einzelnen Prozess, Profilsystem Leistung, Computer von Docking Station entfernen, das System Herunterfahren und Verzeichnisdienst Daten synchronisieren.A nonsensitive privilege includes the following user rights: access Credential Manager as a trusted caller, access this computer from the network, add workstations to domain, adjust memory quotas for a process, allow log on locally, allow log on through Remote Desktop Services, bypass traverse checking, change the system time, create a pagefile, create global objects, create permanent shared objects, create symbolic links, deny access this computer from the network, deny log on as a batch job, deny log on as a service, deny log on locally, deny log on through Remote Desktop Services, force shutdown from a remote system, increase a process working set, increase scheduling priority, lock pages in memory, log on as a batch job, log on as a service, modify an object label, perform volume maintenance tasks, profile single process, profile system performance, remove computer from docking station, shut down the system, and synchronize directory service data. Durch das Überwachen dieser Unterkategorie wird eine sehr hohe Anzahl von Ereignissen erzeugt.Auditing this subcategory will create a very high volume of events.

Andere Berechtigungs Verwendungs EreignisseOther Privilege Use Events

Diese Sicherheitsrichtlinien Einstellung wird derzeit nicht verwendet.This security policy setting is not currently used.

ObjektzugriffObject Access

DateisystemFile System

Diese Unterkategorie meldet, wenn auf Dateisystem Objekte zugegriffen wird.This subcategory reports when file system objects are accessed. Nur Dateisystem Objekte mit SACLs bewirken, dass Überwachungs Ereignisse generiert werden, und zwar nur, wenn auf Sie in einer Weise auf Sie zugegriffen wird, die ihren SACL-Einträgen entspricht.Only file system objects with SACLs cause audit events to be generated, and only when they are accessed in a manner matching their SACL entries. Diese Richtlinien Einstellung bewirkt, dass keine Ereignisse überwacht werden.By itself, this policy setting will not cause auditing of any events. Es bestimmt, ob das Ereignis eines Benutzers überwacht werden soll, der auf ein Dateisystem Objekt zugreift, das über eine angegebene System Zugriffs Steuerungs Liste (SACL) verfügt, sodass die Überwachung wirksam wird.It determines whether to audit the event of a user who accesses a file system object that has a specified system access control list (SACL), effectively enabling auditing to take place.

Wenn die Einstellung Objektzugriff überwachen für Erfolg konfiguriert ist, wird jedes Mal, wenn ein Benutzer erfolgreich auf ein Objekt mit einer angegebenen SACL zugreift, ein Überwachungs Eintrag generiert.If the audit object access setting is configured to Success, an audit entry is generated each time that a user successfully accesses an object with a specified SACL. Wenn diese Richtlinien Einstellung auf Fehler festgelegt ist, wird jedes Mal ein Überwachungs Eintrag generiert, wenn ein Benutzer versucht, auf ein Objekt mit einer angegebenen SACL zuzugreifen.If this policy setting is configured to Failure, an audit entry is generated each time that a user fails in an attempt to access an object with a specified SACL.

RegistrierungRegistry

Diese Unterkategorie meldet, wenn auf Registrierungs Objekte zugegriffen wird.This subcategory reports when registry objects are accessed. Nur Registrierungs Objekte mit SACLs bewirken, dass Überwachungs Ereignisse generiert werden, und zwar nur, wenn auf Sie in einer Weise auf Sie zugegriffen wird, die ihren SACL-Einträgen entspricht.Only registry objects with SACLs cause audit events to be generated, and only when they are accessed in a manner matching their SACL entries. Diese Richtlinien Einstellung bewirkt, dass keine Ereignisse überwacht werden.By itself, this policy setting will not cause auditing of any events.

Kernel ObjektKernel Object

Diese Unterkategorie meldet, wenn auf Kernel Objekte wie Prozesse und Mutexen zugegriffen wird.This subcategory reports when kernel objects such as processes and mutexes are accessed. Nur Kernel Objekte mit SACLs bewirken, dass Überwachungs Ereignisse generiert werden, und zwar nur dann, wenn auf Sie in einer Weise auf Sie zugegriffen wird, die ihren SACL-Einträgen entspricht.Only kernel objects with SACLs cause audit events to be generated, and only when they are accessed in a manner matching their SACL entries. Normalerweise werden Kernel Objekten nur SACLs zugewiesen, wenn die Überwachungs Optionen auditbaseobjects oder auditbasedirectories aktiviert sind.Typically kernel objects are only given SACLs if the AuditBaseObjects or AuditBaseDirectories auditing options are enabled.

SAMSAM

In dieser Unterkategorie wird berichtet, wenn auf die Datenbankobjekte der lokalen Sicherheits Konten Verwaltung (Sam) zugegriffen wird.This subcategory reports when local Security Accounts Manager (SAM) authentication database objects are accessed.

ZertifizierungsdiensteCertification Services

Diese Unterkategorie meldet, wenn Zertifizierungsdienst Vorgänge ausgeführt werden.This subcategory reports when Certification Services operations are performed.

Anwendung generiertApplication Generated

Diese SubCategory meldet, wenn Anwendungen versuchen, Überwachungs Ereignisse mithilfe der Windows-Überwachungs Programmierschnittstellen (Application Programming Interfaces, APIs) zu generieren.This subcategory reports when applications attempt to generate audit events by using the Windows auditing application programming interfaces (APIs).

Bearbeitung von HandlesHandle Manipulation

Diese Unterkategorie meldet, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird.This subcategory reports when a handle to an object is opened or closed. Nur Objekte mit SACLs bewirken, dass diese Ereignisse generiert werden, und nur, wenn der versuchte handle-Vorgang mit den SACL-Einträgen übereinstimmt.Only objects with SACLs cause these events to be generated, and only if the attempted handle operation matches the SACL entries. Bearbeitungs Ereignisse für die Bearbeitung werden nur für Objekttypen generiert, bei denen die entsprechende Objekt Zugriffs-Unterkategorie aktiviert ist (z. b. Dateisystem oder Registrierung).Handle Manipulation events are only generated for object types where the corresponding object access subcategory is enabled (for example, file system or registry).

DateifreigabeFile Share

Diese Unterkategorie meldet, wenn auf eine Dateifreigabe zugegriffen wird.This subcategory reports when a file share is accessed. Diese Richtlinien Einstellung bewirkt, dass keine Ereignisse überwacht werden.By itself, this policy setting will not cause auditing of any events. Es bestimmt, ob das Ereignis eines Benutzers, der auf ein Dateifreigabe Objekt mit der angegebenen System Zugriffs Steuerungs Liste (SACL) zugreift, überwacht werden soll, sodass die Überwachung wirksam wird.It determines whether to audit the event of a user who accesses a file share object that has a specified system access control list (SACL), effectively enabling auditing to take place.

Filtern von Platt Form PaketenFiltering Platform Packet Drop

Diese Unterkategorie meldet, wenn Pakete von der Windows-Filter Plattform (WFP) gelöscht werden.This subcategory reports when packets are dropped by Windows Filtering Platform (WFP). Diese Ereignisse können sehr hoch sein.These events can be very high in volume.

Platt Form Verbindung wird gefiltertFiltering Platform Connection

Diese Unterkategorie meldet, wenn Verbindungen von WFP zugelassen oder blockiert werden.This subcategory reports when connections are allowed or blocked by WFP. Diese Ereignisse können hoch sein.These events can be high in volume.

Andere Objekt ZugriffsereignisseOther Object Access Events

Diese Unterkategorie meldet andere Ereignisse im Zusammenhang mit dem Objektzugriff, wie z. b. Taskplaner Aufträge und COM+-Objekte.This subcategory reports other object access-related events such as Task Scheduler jobs and COM+ objects.

SystemSystem

Änderung des SicherheitszustandsSecurity State Change

Diese Unterkategorie meldet Änderungen im Sicherheitszustand des Systems, z. b. wenn das Sicherheits Subsystem gestartet und beendet wird.This subcategory reports changes in security state of the system, such as when the security subsystem starts and stops.

Sicherheits System ErweiterungSecurity System Extension

Diese Unterkategorie meldet das Laden von Erweiterungs Code, wie z. b. Authentifizierungs Pakete, durch das Sicherheits Subsystem.This subcategory reports the loading of extension code such as authentication packages by the security subsystem.

SystemintegritätSystem Integrity

Diese Unterkategorie berichtet über Verstöße gegen die Integrität des Sicherheits Subsystems.This subcategory reports on violations of integrity of the security subsystem.

IPSec-TreiberIPsec Driver

Diese Unterkategorie meldet die Aktivitäten des IPSec-Treibers (Internet Protocol Security, Internet Protokoll Sicherheit).This subcategory reports on the activities of the Internet Protocol security (IPsec) driver.

Andere System EreignisseOther System Events

Diese Unterkategorie meldet andere Systemereignisse.This subcategory reports on other system events.

Weitere Informationen zu den Beschreibungen der Unterkategorien finden Sie im Microsoft Security Compliance Manager-Tool.For more information about the subcategory descriptions, refer to the Microsoft Security Compliance Manager tool.

Jede Organisation sollte die zuvor behandelten Kategorien und Unterkategorien überprüfen und diejenigen aktivieren, die für Ihre Umgebung am besten geeignet sind.Each organization should review the previous covered categories and subcategories and enable the ones which best fit their environment. Änderungen an der Überwachungsrichtlinie sollten vor der Bereitstellung in einer Produktionsumgebung immer getestet werden.Changes to audit policy should always be tested prior to deployment in a production environment.

Konfigurieren der Windows-ÜberwachungsrichtlinieConfiguring Windows Audit Policy

Die Windows-Überwachungsrichtlinie kann mithilfe von Gruppenrichtlinien, auditpol.exe, APIs oder Registrierungs Änderungen festgelegt werden.Windows audit policy can be set using group policies, auditpol.exe, APIs, or registry edits. Die empfohlenen Methoden zum Konfigurieren der Überwachungsrichtlinie für die meisten Unternehmen sind Gruppenrichtlinie oder auditpol.exe.The recommended methods for configuring audit policy for most companies are Group Policy or auditpol.exe. Zum Festlegen der Überwachungsrichtlinie eines Systems sind Konto Berechtigungen auf Administratorebene oder die entsprechenden Delegierten Berechtigungen erforderlich.Setting a system's audit policy requires administrator-level account permissions or the appropriate delegated permissions.

Hinweis

Die Berechtigung zum Verwalten von Überwachungs -und Sicherheitsprotokollen muss Sicherheits Prinzipale erteilt werden (Administratoren verfügen standardmäßig über diese Berechtigung), um die Änderung der Optionen für die Objekt Zugriffs Überwachung einzelner Ressourcen wie Dateien, Active Directory Objekten und Registrierungsschlüssel zuzulassen.The Manage auditing and security log privilege must be given to security principals (Administrators have it by default) to allow the modification of object access auditing options of individual resources, such as files, Active Directory objects, and registry keys.

Festlegen der Windows-Überwachungsrichtlinie mithilfe von GruppenrichtlinieSetting Windows Audit Policy by Using Group Policy

Zum Festlegen der Überwachungsrichtlinie mithilfe von Gruppenrichtlinien konfigurieren Sie die entsprechenden Überwachungs Kategorien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien \ Überwachungsrichtlinie (ein Beispiel aus der Editor für lokale Gruppenrichtlinien (gpeer dit. msc) finden Sie im folgenden Screenshot).To set audit policy using group policies, configure the appropriate audit categories located under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy (see the following screenshot for an example from the Local Group Policy Editor (gpedit.msc)). Jede Überwachungs Richtlinien Kategorie kann für Erfolgs-, Fehler-oder Erfolgs -und Fehlerereignisse aktiviert werden.Each audit policy category can be enabled for Success, Failure, or Success and Failure events.

Überwachen von AD

Erweiterte Überwachungs Richtlinien können mithilfe von Active Directory oder lokalen Gruppenrichtlinien festgelegt werden.Advanced Audit Policy can be set by using Active Directory or local group policies. Zum Festlegen der erweiterten Überwachungsrichtlinie konfigurieren Sie die entsprechenden Unterkategorien, die sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinie befinden (im folgenden Screenshot finden Sie ein Beispiel aus der Editor für lokale Gruppenrichtlinien (gpeer dit. msc)).To set Advanced Audit Policy, configure the appropriate subcategories located under Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy (see the following screenshot for an example from the Local Group Policy Editor (gpedit.msc)). Jede Unterkategorie der Überwachungsrichtlinie kann für Erfolgs-, Fehler-oder Erfolgs -und Fehler Ereignisse aktiviert werden.Each audit policy subcategory can be enabled for Success, Failure, or Success and Failure events.

Screenshot, der ein Beispiel aus dem Editor für lokale Gruppenrichtlinien (gpeer dit. msc) anzeigt.

Festlegen der Windows-Überwachungsrichtlinie mithilfe von Auditpol.exeSetting Windows Audit Policy Using Auditpol.exe

Auditpol.exe (für das Festlegen der Windows-Überwachungsrichtlinie) wurde in Windows Server 2008 und Windows Vista eingeführt.Auditpol.exe (for setting Windows audit policy) was introduced in Windows Server 2008 and Windows Vista. Anfänglich konnten nur auditpol.exe verwendet werden, um die erweiterte Überwachungsrichtlinie festzulegen, aber Gruppenrichtlinie kann in Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008, Windows 8 und Windows 7 verwendet werden.Initially, only auditpol.exe could be used to set Advanced Audit Policy, but Group Policy can be used in Windows Server 2012, Windows Server 2008 R2, or Windows Server 2008, Windows 8, and Windows 7.

Auditpol.exe ist ein Befehlszeilen-Hilfsprogramm.Auditpol.exe is a command-line utility. Die Syntax ist wie folgt:The syntax is as follows:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Beispiele für die Auditpol.exe Syntax:Auditpol.exe syntax examples:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Hinweis

Auditpol.exe legt die erweiterte Überwachungsrichtlinie lokal fest.Auditpol.exe sets Advanced Audit Policy locally. Wenn die lokale Richtlinie mit Active Directory oder lokalen Gruppenrichtlinie in Konflikt steht, werden Gruppenrichtlinie Einstellungen in der Regel über auditpol.exe Einstellungen übernommen.If local policy conflicts with Active Directory or local Group Policy, Group Policy settings usually prevail over auditpol.exe settings. Wenn mehrere Gruppen-oder lokale Richtlinien Konflikte bestehen, wird nur eine Richtlinie Vorrang (d. h. ersetzen).When multiple group or local policy conflicts exist, only one policy will prevail (that is, replace). Überwachungs Richtlinien werden nicht zusammengeführt.Audit policies will not merge.

Skripterstellung für AuditpolScripting Auditpol

Microsoft stellt ein Beispielskript für Administratoren bereit, die erweiterte Überwachungs Richtlinien mithilfe eines Skripts festlegen möchten, anstatt jeden auditpol.exe Befehl manuell einzugeben.Microsoft provides a sample script for administrators who want to set Advanced Audit Policy by using a script instead of manually typing in each auditpol.exe command.

Hinweis Gruppenrichtlinie gibt nicht immer genau den Status aller aktivierten Überwachungs Richtlinien aus, wohingegen auditpol.exe.Note Group Policy does not always accurately report the status of all enabled auditing policies, whereas auditpol.exe does. Weitere Informationen finden Sie unter erhalten der effektiven Überwachungsrichtlinie in Windows 7 und Windows 2008 R2 .See Getting the Effective Audit Policy in Windows 7 and Windows 2008 R2 for more details.

Andere Auditpol-BefehleOther Auditpol Commands

Auditpol.exe können zum Speichern und Wiederherstellen einer lokalen Überwachungsrichtlinie sowie zum Anzeigen anderer Überwachungs bezogener Befehle verwendet werden.Auditpol.exe can be used to save and restore a local audit policy, and to view other auditing related commands. Hier sind die anderen Auditpol -Befehle aufgeführt.Here are the other auditpol commands.

auditpol /clear -Dient zum Löschen und Zurücksetzen von lokalen Überwachungs Richtlinienauditpol /clear - Used to clear and reset local audit policies

auditpol /backup /file:<filename> -Wird verwendet, um eine aktuelle lokale Überwachungsrichtlinie in einer Binärdatei zu sichern.auditpol /backup /file:<filename> - Used to back up a current local audit policy to a binary file

auditpol /restore /file:<filename> -Wird verwendet, um eine zuvor gespeicherte Überwachungs Richtlinien Datei in eine lokale Überwachungsrichtlinie zu importieren.auditpol /restore /file:<filename> - Used to import a previously saved audit policy file to a local audit policy

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> Wenn diese Überwachungs Richtlinien Einstellung aktiviert ist, bewirkt dies, dass das System sofort beendet wird (mit der Meldung "Pause: C0000244 {Audit failed}"), wenn eine Sicherheitsüberprüfung aus irgendeinem Grund nicht protokolliert werden kann.auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - If this audit policy setting is enabled, it causes the system to immediately stop (with STOP: C0000244 {Audit Failed} message) if a security audit cannot be logged for any reason. In der Regel kann ein Ereignis nicht protokolliert werden, wenn das Sicherheits Überwachungs Protokoll voll ist, und die für das Sicherheitsprotokoll angegebene Beibehaltungs Methode nicht Ereignisse überschreiben oder Ereignisse nach Tagen überschreiben.Typically, an event fails to be logged when the security audit log is full and the retention method specified for the security log is Do Not Overwrite Events or Overwrite Events by Days. Sie wird in der Regel nur von Umgebungen aktiviert, die höhere Sicherheit bei der Protokollierung des Sicherheitsprotokolls erfordern.Typically it is only enabled by environments that need higher assurance that the security log is logging. Wenn diese Option aktiviert ist, müssen Administratoren die Größe des Sicherheitsprotokolls genau beobachten und Protokolle nach Bedarf rotieren.If enabled, administrators must closely watch security log size and rotate logs as required. Er kann auch mit Gruppenrichtlinie festgelegt werden, indem die Sicherheitsoption Überwachung : Herunterfahren des Systems sofort geändert wird, wenn Sicherheits Überwachungen nicht protokolliert werden können (Standardeinstellung = deaktiviert).It can also be set with Group Policy by modifying the security option Audit: Shut down system immediately if unable to log security audits (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> -Diese Überwachungs Richtlinien Einstellung bestimmt, ob der Zugriff auf globale Systemobjekte überprüft werden soll.auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - This audit policy setting determines whether to audit the access of global system objects. Wenn diese Richtlinie aktiviert ist, bewirkt dies, dass Systemobjekte, z. b. Mutexes, Ereignisse, Semaphore und DOS-Geräte, mit einer Standard-System Zugriffs Steuerungs Liste (SACL) erstellt werden.If this policy is enabled, it causes system objects, such as mutexes, events, semaphores, and DOS devices to be created with a default system access control list (SACL). Die meisten Administratoren sollten globale Systemobjekte so überwachen, dass Sie zu "unschädlich" werden, und Sie werden nur aktiviert, wenn böswillige Hacker vermutet werden.Most administrators consider auditing global system objects to be too "noisy," and they will only enable it if malicious hacking is suspected. Nur benannte Objekte erhalten eine SACL.Only named objects are given a SACL. Wenn die Überwachungsrichtlinie für Überwachungs Objektzugriff (oder die Unterkategorie "Kernel Objektüberwachung") ebenfalls aktiviert ist, wird der Zugriff auf diese Systemobjekte überprüft.If the audit object access audit policy (or Kernel Object audit subcategory) is also enabled, access to these system objects is audited. Wenn Sie diese Sicherheitseinstellung konfigurieren, werden die Änderungen erst wirksam, wenn Sie Windows neu starten.When configuring this security setting, changes will not take effect until you restart Windows. Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachen des Zugriffs globaler Systemobjekte (Standardeinstellung = deaktiviert) ändern.This policy can also be set with Group Policy by modifying the security option Audit the access of global system objects (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> -Diese Überwachungs Richtlinien Einstellung gibt an, dass benannte Kernel Objekte (z. b. Mutexen und Semaphore) bei der Erstellung mit SACLs versehen werden sollen.auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - This audit policy setting specifies that named kernel objects (such as mutexes and semaphores) are to be given SACLs when they are created. Auditbasedirectories wirkt sich auf Containerobjekte aus, während auditbaseobjects sich auf Objekte auswirkt, die keine anderen Objekte enthalten können.AuditBaseDirectories affects container objects while AuditBaseObjects affects objects that cannot contain other objects.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> -Diese Überwachungs Richtlinien Einstellung gibt an, ob der Client ein Ereignis generiert, wenn mindestens eine dieser Berechtigungen einem Benutzer Sicherheits Token zugewiesen ist: Zuordnungen von "zukenprivilege", "auditprivilege", "backupprivilege", "comatetokenprivilege", "Debug Privilege", "enabledelegationprivilege", "Identität", "loaddriverprivilege", "restoreprivilege", "securityprivilege", "systemumgebprivilege", "takebesitzshipprivilege"auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - This audit policy setting specifies whether the client generates an event when one or more of these privileges are assigned to a user security token: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege, and TcbPrivilege. Wenn diese Option nicht aktiviert ist (Standardeinstellung = deaktiviert), werden die Berechtigungen backupprivilege und restoreprivilege nicht aufgezeichnet.If this option is not enabled (default=Disabled), the BackupPrivilege and RestorePrivilege privileges are not recorded. Wenn Sie diese Option aktivieren, kann das Sicherheitsprotokoll während eines Sicherungs Vorgangs äußerst laut (manchmal Hunderte von Ereignissen pro Sekunde) werden.Enabling this option can make the security log extremely noisy (sometimes hundreds of events a second) during a backup operation. Diese Richtlinie kann auch mit Gruppenrichtlinie festgelegt werden, indem Sie die Sicherheitsoption Überwachung: überwachen der Verwendung von Sicherungs-und Wiederherstellungs Berechtigungen ändern.This policy can also be set with Group Policy by modifying the security option Audit: Audit the use of Backup and Restore privilege.

Hinweis

Einige der hier bereitgestellten Informationen stammen aus dem Microsoft Audit-Optionstyp und dem Microsoft SCM-Tool.Some information provided here was taken from the Microsoft Audit Option Type and the Microsoft SCM tool.

Erzwingen der herkömmlichen Überwachung oder der erweiterten ÜberwachungEnforcing Traditional Auditing or Advanced Auditing

In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 und Windows Vista können Administratoren auswählen, dass die neun herkömmlichen Kategorien aktiviert oder die Unterkategorien verwendet werden sollen.In Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7, and Windows Vista, administrators can choose to enable the nine traditional categories or to use the subcategories. Es handelt sich um eine binäre Auswahl, die in jedem Windows-System getroffen werden muss.It's a binary choice that must be made in each Windows system. Entweder sind die Hauptkategorien aktiviert, oder die Unterkategorien können nicht gleichzeitig sein.Either the main categories can be enabled or the subcategories, it cannot be both.

Um zu verhindern, dass die Legacy-Richtlinien der herkömmlichen Kategorie überschrieben werden, müssen Sie die Einstellung Einstellungen der Unterkategorie erzwingen (Windows Vista oder höher) aktivieren, um die Einstellungen der Richtlinien Einstellung für die Überwachungs Richtlinien Kategorie außer Kraft zu setzen . diese Einstellung befindet sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\LokaleTo prevent the legacy traditional category policy from overwriting audit policy subcategories, you must enable the Force audit policy subcategory settings(Windows Vista or later) to override audit policy category settings policy setting located under Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Es wird empfohlen, die Unterkategorien anstelle der neun Hauptkategorien zu aktivieren und zu konfigurieren.We recommend that the subcategories be enabled and configured instead of the nine main categories. Hierfür ist es erforderlich, dass eine Gruppenrichtlinie Einstellung aktiviert ist (damit Unterkategorien die Überwachungs Kategorien außer Kraft setzen), und die Unterkategorien, die Überwachungs Richtlinien unterstützen, konfiguriert werden.This requires that a Group Policy setting be enabled (to allow subcategories to override the auditing categories) along with configuring the different subcategories that support auditing policies.

Überwachungs Unterkategorien können mithilfe verschiedener Methoden konfiguriert werden, einschließlich Gruppenrichtlinie und des Befehlszeilen Programms auditpol.exe.Auditing subcategories can be configured by using several methods, including Group Policy and the command-line program, auditpol.exe.

Nächste SchritteNext steps