Richtlinien-CSP – Überwachung
AccountLogon_AuditCredentialValidation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Validierungstests für Anmeldeinformationen für Benutzerkonten generiert wurden. Ereignisse in dieser Unterkategorie treten nur auf dem Computer auf, der für diese Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller autoritativ. Für lokale Konten ist der lokale Computer autoritativ.
Volume: Hohe Anzahl von Domänencontrollern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Überprüfen der Anmeldeinformationen überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung |
AccountLogon_AuditKerberosAuthenticationService
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von TGT-Anforderungen (Ticket-Granting Ticket) der Kerberos-Authentifizierung generiert werden.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird nach einer TGT-Anforderung für die Kerberos-Authentifizierung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird nach einer TGT-Anforderung für die Kerberos-Authentifizierung kein Überwachungsereignis generiert.
Volume: Hohe Anzahl von Kerberos-Schlüsselverteilungscenter-Servern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Kerberos-Authentifizierungsdienst überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung |
AccountLogon_AuditKerberosServiceTicketOperations
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von TGT-Anforderungen (Ticket-Granting Ticket) der Kerberos-Authentifizierung generiert werden, die für Benutzerkonten übermittelt werden.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, nachdem ein Kerberos-Authentifizierungs-TGT für ein Benutzerkonto angefordert wurde. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, nachdem ein TGT für die Kerberos-Authentifizierung für ein Benutzerkonto erforderlich ist.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Ticketvorgänge des Kerberos-Diensts überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung |
AccountLogon_AuditOtherAccountLogonEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Antworten auf Anmeldeinformationsanforderungen generiert werden, die für die Anmeldung eines Benutzerkontos gesendet wurden und keine Überprüfung von Anmeldeinformationen oder Kerberos-Tickets sind. Derzeit gibt es keine Ereignisse in dieser Unterkategorie.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Andere Kontoanmeldungsereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoanmeldung |
AccountLogonLogoff_AuditAccountLockout
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die bei einem fehlgeschlagenen Anmeldeversuch bei einem gesperrten Konto generiert wurden. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn sich ein Konto nicht bei einem Computer anmelden kann, weil das Konto gesperrt ist. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf. Anmeldeereignisse sind wichtig, um die Benutzeraktivität zu verstehen und potenzielle Angriffe zu erkennen.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Kontosperrung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditGroupMembership
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
Mit dieser Richtlinie können Sie die Gruppenmitgliedschaftsinformationen im Anmeldetoken des Benutzers überwachen. Ereignisse in dieser Unterkategorie werden auf dem Computer generiert, auf dem eine Anmeldesitzung erstellt wird. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Sie müssen auch die Einstellung Anmeldung überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmeldung/Abmelden aktivieren. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert.
Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Gruppenmitgliedschaft überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditIPsecExtendedMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während verhandlungen im erweiterten Modus generiert wurden.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Aushandlung im erweiterten Modus ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Aushandlung im erweiterten Modus kein Überwachungsereignis generiert.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | IPsec-Erweiterungsmodus überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditIPsecMainMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während der Verhandlungen im Hauptmodus generiert wurden.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Hauptmodus-Aushandlung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Hauptmodus-Aushandlung kein Überwachungsereignis generiert.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | IPsec-Hauptmodus überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditIPsecQuickMode
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom Internet Key Exchange-Protokoll (IKE) und dem authentifizierten Internetprotokoll (AuthIP) während der Verhandlungen im Schnellmodus generiert wurden. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während einer IPsec-Schnellmodus-Aushandlung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während einer IPsec-Schnellmodus-Aushandlung kein Überwachungsereignis generiert.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | IPsec-Schnellmodus überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditLogoff
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die beim Schließen einer Anmeldesitzung generiert wurden. Diese Ereignisse treten auf dem Computer auf, auf den zugegriffen wurde. Für eine interaktive Abmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, bei dem das Benutzerkonto angemeldet ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Schließen einer Anmeldesitzung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, Sitzungen zu schließen, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf, Sitzungen zu schließen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Schließen einer Anmeldesitzung kein Überwachungsereignis generiert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Abmelden überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditLogon
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Anmeldeversuchen des Benutzerkontos auf dem Computer generiert werden. Ereignisse in dieser Unterkategorie beziehen sich auf die Erstellung von Anmeldesitzungen und treten auf dem Computer auf, auf den zugegriffen wurde. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, bei dem das Benutzerkonto angemeldet ist. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Die folgenden Ereignisse sind enthalten: Erfolgreiche Anmeldeversuche. Fehlgeschlagene Anmeldeversuche. Anmeldeversuche mit expliziten Anmeldeinformationen. Dieses Ereignis wird generiert, wenn ein Prozess versucht, sich durch explizite Angabe der Anmeldeinformationen dieses Kontos bei einem Konto anzumelden. Dies tritt am häufigsten bei Batchanmeldungskonfigurationen auf, z. B. bei geplanten Aufgaben oder bei Verwendung des RUNAS-Befehls. Sicherheits-IDs (SIDs) wurden gefiltert und dürfen sich nicht anmelden.
Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anmelden überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditNetworkPolicyServer
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von RADIUS (IAS) und NAP-Benutzerzugriffsanforderungen (Network Access Protection, Netzwerkzugriffsschutz) generiert wurden. Diese Anforderungen können Gewähren, Verweigern, Verwerfen, Quarantäne, Sperren und Entsperren sein.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird für jede IAS- und NAP-Benutzerzugriffsanforderung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Benutzerzugriffsanforderungen auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellungen nicht konfigurieren, werden IAS- und NAP-Benutzerzugriffsanforderungen nicht überwacht.
Volume: Mittel oder Hoch auf NPS- und IAS-Server. Kein Volume auf anderen Computern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 (Standard) | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Netzwerkrichtlinienserver überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
Mit dieser Richtlinieneinstellung können Sie andere Anmelde-/Abmeldeereignisse überwachen, die nicht in der Richtlinieneinstellung "Anmeldung/Abmeldung" behandelt werden, z. B.: Verbindungstrennungen von Terminaldiensten-Sitzungen. Neue Terminaldienstesitzungen. Sperren und Entsperren einer Arbeitsstation Aufrufen eines Bildschirmschoner. Einstellung eines Bildschirmschoner. Erkennung eines Kerberos-Replay-Angriffs, bei dem eine Kerberos-Anforderung zweimal mit identischen Informationen empfangen wurde. Diese Bedingung kann durch eine fehlkonfigurierte Netzwerkkonfiguration verursacht werden. Zugriff auf ein Drahtlosnetzwerk, das einem Benutzer- oder Computerkonto gewährt wird. Zugriff auf ein verkabeltes 802.1x-Netzwerk, das einem Benutzer- oder Computerkonto gewährt wird.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Überwachen anderer Abmeldeereignisse |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditSpecialLogon
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von speziellen Anmeldungen wie den folgenden generiert werden: Die Verwendung einer speziellen Anmeldung, bei der es sich um eine Anmeldung handelt, die über administratoräquivalente Berechtigungen verfügt und verwendet werden kann, um einen Prozess auf eine höhere Ebene zu erhöhen. Eine Anmeldung durch ein Mitglied einer speziellen Gruppe. Mit speziellen Gruppen können Sie Ereignisse überwachen, die generiert werden, wenn sich ein Mitglied einer bestimmten Gruppe bei Ihrem Netzwerk angemeldet hat. Sie können eine Liste von Gruppensicherheits-IDs (SIDs) in der Registrierung konfigurieren. Wenn eine dieser SIDs während der Anmeldung einem Token hinzugefügt wird und die Unterkategorie aktiviert ist, wird ein Ereignis protokolliert. Weitere Informationen zu diesem Feature finden Sie im Artikel 947223 in der Microsoft Knowledge Base.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Spezielle Anmeldung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountLogonLogoff_AuditUserDeviceClaims
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
Mit dieser Richtlinie können Sie Benutzer- und Geräteanspruchsinformationen im Anmeldetoken des Benutzers überwachen. Ereignisse in dieser Unterkategorie werden auf dem Computer generiert, auf dem eine Anmeldesitzung erstellt wird. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, z. B. den Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem Computer generiert, auf dem die Ressource gehostet wird. Benutzeransprüche werden einem Anmeldetoken hinzugefügt, wenn Ansprüche in den Kontoattributen eines Benutzers in Active Directory enthalten sind. Geräteansprüche werden dem Anmeldetoken hinzugefügt, wenn Ansprüche in den Computerkontoattributen eines Geräts in Active Directory enthalten sind. Darüber hinaus muss die Verbundidentität für die Domäne und auf dem Computer aktiviert werden, auf dem sich der Benutzer angemeldet hat. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Sie müssen auch die Einstellung Anmeldung überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmeldung/Abmelden aktivieren. Mehrere Ereignisse werden generiert, wenn die Benutzer- und Geräteanspruchsinformationen nicht in ein einzelnes Sicherheitsüberwachungsereignis passen können.
Volumen: Wenig Auf einem Clientcomputer. Mittel auf einem Domänencontroller oder einem Netzwerkserver.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzergeräteansprüche überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Anmeldung/Abmeldung |
AccountManagement_AuditApplicationGroupManagement
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Anwendungsgruppen generiert werden, z. B. die folgenden: Anwendungsgruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Anwendungsgruppe hinzugefügt oder daraus entfernt.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, eine Anwendungsgruppe zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Ändern einer Anwendungsgruppe kein Überwachungsereignis generiert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anwendungsgruppenverwaltung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
AccountManagement_AuditComputerAccountManagement
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Computerkonten generiert werden, z. B. wenn ein Computerkonto erstellt, geändert oder gelöscht wird.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Computerkonto zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich ein Computerkonto ändert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Computerkontoverwaltung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
AccountManagement_AuditDistributionGroupManagement
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Verteilergruppen generiert werden, z. B. die folgenden: Verteilergruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Verteilergruppe hinzugefügt oder daraus entfernt. Der Typ der Verteilergruppe wird geändert.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, eine Verteilergruppe zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich eine Verteilergruppe ändert.
Hinweis
Ereignisse in dieser Unterkategorie werden nur auf Domänencontrollern protokolliert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verteilergruppenverwaltung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
AccountManagement_AuditOtherAccountManagementEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von anderen Benutzerkontoänderungen generiert wurden, die nicht in dieser Kategorie behandelt werden, wie z. B.: Auf den Kennworthash eines Benutzerkontos wurde zugegriffen. Dies geschieht in der Regel während einer Kennwortmigration des Active Directory-Verwaltungstools. Die API zur Überprüfung der Kennwortrichtlinie wurde aufgerufen. Aufrufe dieser Funktion können Teil eines Angriffs sein, wenn eine böswillige Anwendung die Richtlinie testet, um die Anzahl der Versuche während eines Kennwortwörterbuchangriffs zu reduzieren. Änderungen an der Standarddomäne Gruppenrichtlinie unter den folgenden Gruppenrichtlinie Pfaden: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinie.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Überwachen anderer Kontoverwaltungsereignisse |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
AccountManagement_AuditSecurityGroupManagement
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Sicherheitsgruppen generiert werden, z. B. die folgenden: Sicherheitsgruppe wird erstellt, geändert oder gelöscht. Mitglied wird einer Sicherheitsgruppe hinzugefügt oder daraus entfernt. Der Gruppentyp wird geändert.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, eine Sicherheitsgruppe zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich eine Sicherheitsgruppe ändert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sicherheitsgruppenverwaltung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
AccountManagement_AuditUserAccountManagement
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
Mit dieser Richtlinieneinstellung können Sie Änderungen an Benutzerkonten überwachen. Zu den Ereignissen gehören: Ein Benutzerkonto wird erstellt, geändert, gelöscht; umbenannt, deaktiviert, aktiviert, gesperrt oder entsperrt. Das Kennwort eines Benutzerkontos wird festgelegt oder geändert. Dem SID-Verlauf eines Benutzerkontos wird eine Sicherheits-ID (SID) hinzugefügt. Das Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus ist konfiguriert. Berechtigungen für Administratorbenutzerkonten werden geändert. Anmeldeinformationen des Anmeldeinformations-Managers werden gesichert oder wiederhergestellt.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Benutzerkonto zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich ein Benutzerkonto ändert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Benutzerkontenverwaltung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Kontoverwaltung |
DetailedTracking_AuditDPAPIActivity
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn Verschlüsselungs- oder Entschlüsselungsanforderungen an die Datenschutzanwendungsschnittstelle (Data Protection Application Interface, DPAPI) gesendet werden. DPAPI wird verwendet, um Geheiminformationen wie gespeicherte Kennwort- und Schlüsselinformationen zu schützen. Weitere Informationen zu DPAPI finden Sie unter Verwenden des Datenschutzes.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn eine Verschlüsselungs- oder Entschlüsselungsanforderung an DPAPI gestellt wird. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn eine Verschlüsselungs- oder Entschlüsselungsanforderung an DIE DPAPI gesendet wird.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | DPAPI-Aktivität überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DetailedTracking_AuditPNPActivity
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
Mit dieser Richtlinieneinstellung können Sie überwachen, wann plug and play ein externes Gerät erkennt.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn plug and play ein externes Gerät erkennt. Für diese Kategorie werden nur Erfolgsüberwachungen aufgezeichnet.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein externes Gerät durch Plug & Play erkannt wird.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | PNP-Aktivität überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DetailedTracking_AuditProcessCreation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die beim Erstellen oder Starten eines Prozesses generiert werden. Der Name der Anwendung oder des Benutzers, die den Prozess erstellt hat, wird ebenfalls überwacht.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Erstellen eines Prozesses ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Erstellen eines Prozesses kein Überwachungsereignis generiert.
Volume: Hängt davon ab, wie der Computer verwendet wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Prozesserstellung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DetailedTracking_AuditProcessTermination
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn ein Prozess beendet wird.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Beenden eines Prozesses ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Beenden eines Prozesses kein Überwachungsereignis generiert.
Volume: Hängt davon ab, wie der Computer verwendet wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Prozessbeendung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DetailedTracking_AuditRPCEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
Mit dieser Richtlinieneinstellung können Sie eingehende RPC-Verbindungen (Remote Procedure Call) überwachen.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch einer Remote-RPC-Verbindung ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch einer REMOTE-RPC-Verbindung kein Überwachungsereignis generiert.
Volume: Hohe Anzahl von RPC-Servern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | RPC-Ereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DetailedTracking_AuditTokenRightAdjusted
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Anpassen der Berechtigungen eines Tokens generiert werden.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Überwachungstoken rechts angepasst |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Detaillierte Nachverfolgung |
DSAccess_AuditDetailedDirectoryServiceReplication
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von einer detaillierten Active Directory Domain Services (AD DS)-Replikation zwischen Domänencontrollern generiert werden.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Detaillierte Verzeichnisdienstreplikation überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff |
DSAccess_AuditDirectoryServiceAccess
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn auf ein Active Directory Domain Services -Objekt (AD DS) zugegriffen wird. Nur AD DS-Objekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) werden protokolliert. Ereignisse in dieser Unterkategorie ähneln den In früheren Versionen von Windows verfügbaren Verzeichnisdienstzugriffsereignissen.
Volume: Hohe Anzahl von Domänencontrollern. Keine auf Clientcomputern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verzeichnisdienstzugriff überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff |
DSAccess_AuditDirectoryServiceChanges
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an Objekten in Active Directory Domain Services (AD DS) generiert werden. Ereignisse werden protokolliert, wenn ein Objekt erstellt, gelöscht, geändert, verschoben oder wiederherstellen wird. In dieser Unterkategorie protokollierte Ereignisse geben nach Möglichkeit die alten und neuen Werte der Eigenschaften des Objekts an. Ereignisse in dieser Unterkategorie werden nur auf Domänencontrollern protokolliert, und nur Objekte in AD DS mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) werden protokolliert.
Hinweis
Aktionen für einige Objekte und Eigenschaften führen aufgrund von Einstellungen für die Objektklasse im Schema nicht dazu, dass Überwachungsereignisse generiert werden.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, ein Objekt in AD DS zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, erfolglose Versuche werden jedoch NICHT aufgezeichnet.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, ein Objekt im AD DS-Objekt zu ändern, kein Überwachungsereignis generiert.
Volume: Nur auf Domänencontrollern mit hohem Volumen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verzeichnisdienständerungen überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff |
DSAccess_AuditDirectoryServiceReplication
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
Mit dieser Richtlinieneinstellung können Sie die Replikation zwischen zwei Active Directory Domain Services (AD DS)-Domänencontrollern überwachen.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird während der AD DS-Replikation ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen eine erfolgreiche Replikation auf, und Fehlerüberwachungen führen eine nicht erfolgreiche Replikation durch.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird während der AD DS-Replikation kein Überwachungsereignis generiert.
Volume: Mittel auf Domänencontrollern. Keine auf Clientcomputern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Verzeichnisdienstreplikation überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > DS-Zugriff |
ObjectAccess_AuditApplicationGenerated
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
Mit dieser Richtlinieneinstellung können Sie Anwendungen überwachen, die Ereignisse mithilfe der Windows-Überwachung-APIs (Application Programming Interfaces) generieren. Anwendungen, die für die Verwendung der Windows-Überwachungs-API entwickelt wurden, verwenden diese Unterkategorie, um Überwachungsereignisse im Zusammenhang mit ihrer Funktion zu protokollieren. Zu den Ereignissen in dieser Unterkategorie gehören: Erstellen eines Anwendungsclientkontexts. Löschen eines Anwendungsclientkontexts. Initialisierung eines Anwendungsclientkontexts. Andere Anwendungsvorgänge, die die Windows-Überwachungs-APIs verwenden.
Volume: Hängt von den Anwendungen ab, die sie generieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Anwendung generiert überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditCentralAccessPolicyStaging
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
Mit dieser Richtlinieneinstellung können Sie Zugriffsanforderungen überwachen, bei denen die von einer vorgeschlagenen Richtlinie gewährte oder verweigerte Berechtigung von der aktuellen zentralen Zugriffsrichtlinie für ein Objekt abweicht. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Benutzer auf ein Objekt zugreift, und die berechtigung, die von der aktuellen zentralen Zugriffsrichtlinie für das Objekt gewährt wird, unterscheidet sich von der Berechtigung, die von der vorgeschlagenen Richtlinie gewährt wird. Das resultierende Überwachungsereignis wird wie folgt generiert: 1) Erfolgsüberwachungen zeichnet bei der Konfiguration Zugriffsversuche auf, wenn die aktuelle zentrale Zugriffsrichtlinie Zugriff gewährt, aber die vorgeschlagene Richtlinie den Zugriff verweigert. 2) Fehlerüberwachungen bei konfigurierten Aufzeichnungsversuchen, wenn: a) Die aktuelle zentrale Zugriffsrichtlinie gewährt keinen Zugriff, aber die vorgeschlagene Richtlinie gewährt Zugriff. b) Ein Prinzipal fordert die maximal zulässigen Zugriffsrechte an, und die von der aktuellen zentralen Zugriffsrichtlinie gewährten Zugriffsrechte unterscheiden sich von den Zugriffsrechten, die von der vorgeschlagenen Richtlinie gewährt werden. Volumen: Potenziell hoch auf einem Dateiserver, wenn sich die vorgeschlagene Richtlinie erheblich von der aktuellen zentralen Zugriffsrichtlinie unterscheidet.
Volumen: Potenziell hoch auf einem Dateiserver, wenn sich die vorgeschlagene Richtlinie erheblich von der aktuellen zentralen Zugriffsrichtlinie unterscheidet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Staging zentraler Zugriffsrichtlinien überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditCertificationServices
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
Mit dieser Richtlinieneinstellung können Sie Active Directory-Zertifikatdienste (AD CS)-Vorgänge überwachen. ZU DEN AD CS-Vorgängen gehören: AD CS-Start/-Herunterfahren/Sichern/Wiederherstellen. Änderungen an der Zertifikatsperrliste (Certificate Revocation List, CRL). Neue Zertifikatanforderungen. Ausstellung eines Zertifikats. Sperrung eines Zertifikats. Änderungen an den Zertifikat-Manager-Einstellungen für AD CS. Änderungen in der Konfiguration von AD CS. Änderungen an einer Zertifikatdienstvorlage. Importieren eines Zertifikats. Die Veröffentlichung eines Zertifizierungsstellenzertifikats erfolgt Active Directory Domain Services. Änderungen an den Sicherheitsberechtigungen für AD CS. Archivierung eines Schlüssels. Importieren eines Schlüssels. Abrufen eines Schlüssels. Start des OCSP-Antwortdiensts (Online Certificate Status Protocol). Beenden des OCSP-Antwortdiensts (Online Certificate Status Protocol).
Volume: Mittel oder niedrig auf Computern, auf denen Active Directory-Zertifikatdienste ausgeführt werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Zertifizierungsdienste überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditDetailedFileShare
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
Mit dieser Richtlinieneinstellung können Sie Versuche überwachen, auf Dateien und Ordner in einem freigegebenen Ordner zuzugreifen. Die Einstellung Detaillierte Dateifreigabe protokolliert jedes Mal, wenn auf eine Datei oder einen Ordner zugegriffen wird, ein Ereignis, während die Einstellung Dateifreigabe nur ein Ereignis für jede Verbindung erfasst, die zwischen einem Client und einer Dateifreigabe hergestellt wird. Detaillierte Dateifreigabeüberwachungsereignisse enthalten detaillierte Informationen zu den Berechtigungen oder anderen Kriterien, die zum Gewähren oder Verweigern des Zugriffs verwendet werden.
- Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, auf eine Datei oder einen Ordner auf einer Freigabe zuzugreifen. Der Administrator kann angeben, ob nur Erfolge, nur Fehler oder sowohl Erfolge als auch Fehler überwacht werden sollen.
Hinweis
Es gibt keine Systemzugriffssteuerungslisten (SACLs) für freigegebene Ordner.
- Wenn diese Richtlinieneinstellung aktiviert ist, wird der Zugriff auf alle freigegebenen Dateien und Ordner im System überwacht.
Volume: Hohe Auslastung auf einem Dateiserver oder Domänencontroller aufgrund des SYSVOL-Netzwerkzugriffs, der für Gruppenrichtlinie erforderlich ist.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Detaillierte Dateifreigabe überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditFileShare
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf einen freigegebenen Ordner überwachen.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, auf einen freigegebenen Ordner zuzugreifen, ein Überwachungsereignis generiert.
Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler oder sowohl Erfolge als auch Fehler überwacht werden sollen.
Hinweis
Es gibt keine Systemzugriffssteuerungslisten (SACLs) für freigegebene Ordner.
- Wenn diese Richtlinieneinstellung aktiviert ist, wird der Zugriff auf alle freigegebenen Ordner im System überwacht.
Volume: Hohe Auslastung auf einem Dateiserver oder Domänencontroller aufgrund des SYSVOL-Netzwerkzugriffs, der für Gruppenrichtlinie erforderlich ist.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Dateifreigabe überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditFileSystem
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
Mit dieser Richtlinieneinstellung können Sie Benutzerversuche für den Zugriff auf Dateisystemobjekte überwachen. Ein Sicherheitsüberwachungsereignis wird nur für Objekte generiert, für die SACL (System Access Control Lists) angegeben ist, und nur dann, wenn der angeforderte Zugriffstyp( z. B. Schreiben, Lesen oder Ändern) und das Konto, das die Anforderung sendet, mit den Einstellungen in der SACL übereinstimmt. Weitere Informationen zum Aktivieren der Objektzugriffsüberwachung finden Sie unter<https://go.microsoft.com/fwlink/?LinkId=122083> .
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt mit einer entsprechenden SACL zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt mit einer entsprechenden SACL zugreift.
Hinweis
Sie können eine SACL für ein Dateisystemobjekt festlegen, indem Sie die Registerkarte Sicherheit im Dialogfeld Eigenschaften dieses Objekts verwenden.
Volume: Hängt davon ab, wie die Dateisystem-SACLs konfiguriert sind.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Dateisystem überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditFilteringPlatformConnection
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
Mit dieser Richtlinieneinstellung können Sie Verbindungen überwachen, die von der Windows-Filterplattform (Windows Filtering Platform, WFP) zugelassen oder blockiert werden. Die folgenden Ereignisse sind enthalten: Der Windows-Firewalldienst blockiert, dass eine Anwendung eingehende Verbindungen im Netzwerk akzeptiert. Das WFP lässt eine Verbindung zu. Das WFP blockiert eine Verbindung. Das WFP lässt eine Bindung an einen lokalen Port zu. Das WFP blockiert eine Bindung an einen lokalen Port. Das WFP lässt eine Verbindung zu. Das WFP blockiert eine Verbindung. Das WFP ermöglicht es einer Anwendung oder einem Dienst, an einem Port auf eingehende Verbindungen zu lauschen. Das WFP blockiert eine Anwendung oder einen Dienst, um an einem Port auf eingehende Verbindungen zu lauschen.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn Verbindungen vom WFP zugelassen oder blockiert werden. Erfolgsüberwachungen von Datensatzereignissen, die generiert werden, wenn Verbindungen zulässig sind, und Fehlerüberwachungen Datensatzereignisse, die beim Blockieren von Verbindungen generiert werden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn die Verbindung vom WFP zugelassen oder blockiert wird.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Filterplattformverbindung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditFilteringPlatformPacketDrop
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
Mit dieser Richtlinieneinstellung können Sie Pakete überwachen, die von der Windows-Filterplattform (Windows Filtering Platform, WFP) gelöscht werden.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Filterplattform: Verworfene Pakete überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditHandleManipulation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird. Nur Objekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) generieren Sicherheitsüberwachungsereignisse.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Bearbeiten eines Handles ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Bearbeiten eines Handles kein Überwachungsereignis generiert.
Hinweis
Ereignisse in dieser Unterkategorie generieren Ereignisse nur für Objekttypen, bei denen die entsprechende Objektzugriffsunterkategorie aktiviert ist. Wenn beispielsweise der Zugriff auf Dateisystemobjekte aktiviert ist, werden Sicherheitsüberwachungsereignisse für die Verarbeitung von Manipulationen generiert. Wenn der Zugriff auf registry-Objekte nicht aktiviert ist, werden keine Sicherheitsüberwachungsereignisse für die Verarbeitung von Manipulationen generiert.
Volume: Hängt davon ab, wie SACLs konfiguriert werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Handleänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditKernelObject
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf den Kernel überwachen, einschließlich Mutexen und Semaphoren. Nur Kernelobjekte mit einer übereinstimmenden Systemzugriffssteuerungsliste (SACL) generieren Sicherheitsüberwachungsereignisse.
Hinweis
Die Richtlinieneinstellung Audit: Überwachen des Zugriffs auf globale Systemobjekte steuert die Standard-SACL von Kernelobjekten.
Volume: Hoch, wenn die Überwachung des Zugriffs auf globale Systemobjekte aktiviert ist.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Kernelobjekt überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditOtherObjectAccessEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch die Verwaltung von Aufgabenplanungsaufträgen oder COM+-Objekten generiert wurden. Für Planeraufträge werden folgende Überwacht: Auftrag erstellt. Auftrag wurde gelöscht. Auftrag aktiviert. Auftrag deaktiviert. Auftrag aktualisiert. Für COM+-Objekte wird Folgendes überwacht: Katalogobjekt hinzugefügt. Katalogobjekt aktualisiert. Das Katalogobjekt wurde gelöscht.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Andere Objektzugriffsereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditRegistry
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
Mit dieser Richtlinieneinstellung können Sie Zugriffsversuche auf Registrierungsobjekte überwachen. Ein Sicherheitsüberwachungsereignis wird nur für Objekte generiert, für die Systemzugriffssteuerungslisten (SACLs) angegeben sind, und nur dann, wenn die Art des angeforderten Zugriffs, z. B. Lesen, Schreiben oder Ändern, und das Konto, das die Anforderung erstellt, mit den Einstellungen in der SACL übereinstimmen.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Registrierungsobjekt mit einer entsprechenden SACL zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Registrierungsobjekt mit einer entsprechenden SACL zugreift.
Hinweis
Sie können eine SACL für ein Registrierungsobjekt mithilfe des Dialogfelds Berechtigungen festlegen.
Volume: Hängt davon ab, wie SACLs für die Registrierung konfiguriert sind.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Registrierung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditRemovableStorage
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
Mit dieser Richtlinieneinstellung können Sie Benutzerversuche für den Zugriff auf Dateisystemobjekte auf einem Wechseldatenträger überwachen. Ein Sicherheitsüberwachungsereignis wird nur für alle Objekte für alle angeforderten Zugriffstypen generiert.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird jedes Mal ein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt in einem Wechselspeicher zugreift. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein Konto auf ein Dateisystemobjekt in einem Wechselspeicher zugreift.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Wechselmedien überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
ObjectAccess_AuditSAM
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Zugriffsversuche auf SAM-Objekte (Security Accounts Manager) generiert werden. SAM-Objekte umfassen Folgendes: SAM_ALIAS -- Eine lokale Gruppe. SAM_GROUP : Eine Gruppe, die keine lokale Gruppe ist. SAM_USER: Ein Benutzerkonto. SAM_DOMAIN: Eine Domäne. SAM_SERVER: Ein Computerkonto.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, auf ein Kernelobjekt zuzugreifen. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, auf ein Kernelobjekt zuzugreifen, kein Überwachungsereignis generiert.
Hinweis
Nur die System Access Control List (SACL) für SAM_SERVER kann geändert werden. Volume: Hohe Anzahl von Domänencontrollern.
Volume: Hohe Anzahl von Domänencontrollern. Weitere Informationen zum Reduzieren der Anzahl von Ereignissen, die durch die Überwachung des Zugriffs auf globale Systemobjekte generiert werden, finden Sie unter Überwachen des Zugriffs auf globale Systemobjekte.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | SAM überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinie Konfiguration > Systemüberwachungsrichtlinien > Objektzugriff |
PolicyChange_AuditAuthenticationPolicyChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Authentifizierungsrichtlinie generiert werden, z. B. die folgenden: Erstellung von Gesamtstruktur- und Domänenvertrauensstellungen. Änderung von Gesamtstruktur- und Domänenvertrauensstellungen. Entfernen von Gesamtstruktur- und Domänenvertrauensstellungen. Änderungen an der Kerberos-Richtlinie unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinie. Gewähren eines der folgenden Benutzerrechte für einen Benutzer oder eine Gruppe: Zugriff auf diesen Computer aus dem Netzwerk. Lokale Anmeldung zulassen. Anmeldung über Terminaldienste zulassen. Melden Sie sich als Batchauftrag an. Melden Sie einen Dienst an. Namespacekonflikt. Beispiel: Eine neue Vertrauensstellung hat denselben Namen wie ein vorhandener Namespacename.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, die Authentifizierungsrichtlinie zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Ändern der Authentifizierungsrichtlinie kein Überwachungsereignis generiert.
Hinweis
Das Sicherheitsüberwachungsereignis wird protokolliert, wenn die Gruppenrichtlinie angewendet wird. Dies tritt nicht zu dem Zeitpunkt auf, zu dem die Einstellungen geändert werden.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Authentifizierungsrichtlinienänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PolicyChange_AuditAuthorizationPolicyChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Autorisierungsrichtlinie generiert werden, z. B. die folgenden: Zuweisung von Benutzerrechten (Berechtigungen), z. B. SeCreateTokenPrivilege, die nicht über die Unterkategorie "Änderung der Authentifizierungsrichtlinie" überwacht werden. Entfernen von Benutzerrechten (Berechtigungen), z. B. SeCreateTokenPrivilege, die nicht durch die Unterkategorie "Änderung der Authentifizierungsrichtlinie" überwacht werden. Änderungen in der EfS-Richtlinie (Encrypted File System). Änderungen an den Ressourcenattributen eines Objekts. Änderungen an der zentralen Zugriffsrichtlinie (Central Access Policy, CAP), die auf ein Objekt angewendet wird.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, die Autorisierungsrichtlinie zu ändern, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn sich die Autorisierungsrichtlinie ändert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Autorisierungsrichtlinienänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PolicyChange_AuditFilteringPlatformPolicyChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen an der Windows-Filterplattform (Windows Filtering Platform, WFP) generiert wurden, z. B. die folgenden: IPsec-Dienste status. Änderungen an IPsec-Richtlinieneinstellungen. Änderungen an den Richtlinieneinstellungen der Windows-Firewall. Änderungen an WFP-Anbietern und -Engine.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn versucht wird, das WFP zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn eine Änderung am WFP auftritt.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Filterplattform-Richtlinienänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von Änderungen an Richtlinienregeln generiert werden, die vom Microsoft Protection Service (MPSSVC) verwendet werden. Dieser Dienst wird von der Windows-Firewall verwendet. Zu den Ereignissen gehören: Berichterstellung aktiver Richtlinien beim Starten des Windows-Firewalldiensts. Änderungen an Windows-Firewallregeln. Änderungen an der Ausnahmeliste der Windows-Firewall. Änderungen an den Einstellungen der Windows-Firewall. Regeln, die vom Windows-Firewalldienst ignoriert oder nicht angewendet werden. Änderungen an den Einstellungen der Windows-Firewall Gruppenrichtlinie.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, indem versucht wird, von MPSSVC verwendete Richtlinienregeln zu ändern. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird durch Änderungen an Richtlinienregeln, die von MPSSVC verwendet werden, kein Überwachungsereignis generiert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Richtlinienänderung auf MPSSVC-Regelebene überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PolicyChange_AuditOtherPolicyChangeEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die von anderen Sicherheitsrichtlinienänderungen generiert werden, die nicht in der Kategorie "Richtlinienänderung" überwacht werden, z. B. die folgenden Änderungen: TPM-Konfigurationsänderungen (Trusted Platform Module). Kryptografische Selbsttests im Kernelmodus. Kryptografieanbietervorgänge. Kryptografische Kontextvorgänge oder -änderungen. Änderungen an angewendeten zentralen Zugriffsrichtlinien (CENTRAL Access Policies, CAPs). Änderungen an Startkonfigurationsdaten (BOOT Configuration Data, BCD).
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Andere Richtlinienänderungsereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PolicyChange_AuditPolicyChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
Mit dieser Richtlinieneinstellung können Sie Änderungen an den Richtlinieneinstellungen für die Sicherheitsüberwachung überwachen, z. B. die folgenden: Einstellungsberechtigungen und Überwachungseinstellungen für das Überwachungsrichtlinienobjekt. Änderungen an der Systemüberwachungsrichtlinie. Registrierung von Sicherheitsereignisquellen. Aufheben der Registrierung von Sicherheitsereignisquellen. Änderungen an den Überwachungseinstellungen pro Benutzer. Ändert den Wert von CrashOnAuditFail. Änderungen an der Systemzugriffssteuerungsliste für ein Dateisystem- oder Registrierungsobjekt. Änderungen an der Liste "Spezielle Gruppen".
Hinweis
Die Änderungsüberwachung der Systemzugriffssteuerungsliste (SACL) wird durchgeführt, wenn sich eine SACL für ein Objekt ändert und die Kategorie der Richtlinienänderung aktiviert ist. DaCL(Discretionary Access Control List) und Besitzeränderungen werden überwacht, wenn die Objektzugriffsüberwachung aktiviert ist und die SACL des Objekts für die Überwachung der DACL/Besitzeränderung konfiguriert ist.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Richtlinienänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Richtlinienänderung |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch die Verwendung nicht vertraulicher Berechtigungen (Benutzerrechte) generiert wurden. Die folgenden Berechtigungen sind nicht vertraulich: Access Credential Manager als vertrauenswürdiger Aufrufer. Greifen Sie über das Netzwerk auf diesen Computer zu. Fügen Sie Arbeitsstationen zur Domäne hinzu. Passen Sie die Speicherkontingente für einen Prozess an. Lokale Anmeldung zulassen. Anmeldung über Terminaldienste zulassen. Umgehen Sie die Traverse-Überprüfung. Ändern Sie die Systemzeit. Erstellen Sie eine Auslagerungsdatei. Erstellen sie globale Objekte. Erstellen sie permanent freigegebene Objekte. Erstellen sie symbolische Verknüpfungen. Verweigern Sie den Zugriff auf diesen Computer aus dem Netzwerk. Die Anmeldung als Batchauftrag verweigern. Verweigern der Anmeldung als Dienst. Lokale Anmeldung verweigern. Verweigern der Anmeldung über Terminaldienste. Erzwingen des Herunterfahrens von einem Remotesystem. Erhöhen eines Prozessarbeitssatzes. Erhöhen Sie die Planungspriorität. Sperren von Seiten im Arbeitsspeicher. Melden Sie sich als Batchauftrag an. Melden Sie sich als Dienst an. Ändern einer Objektbezeichnung. Ausführen von Volumewartungsaufgaben. Profilerstellung für einen einzelnen Prozess. Profilerstellung für die Systemleistung. Entfernen Sie den Computer aus der Dockingstation. Fahren Sie das System herunter. Synchronisieren von Verzeichnisdienstdaten.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn eine nicht sensible Berechtigung aufgerufen wird. Erfolgreiche Überwachungen zeichnen erfolgreiche Aufrufe auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Aufrufe auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Aufrufen einer nicht vertraulichen Berechtigung kein Überwachungsereignis generiert.
Volumen: Sehr hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Nicht sensible Verwendung von Rechten überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
Nicht verwendet.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Andere Rechteverwendungsereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung |
PrivilegeUse_AuditSensitivePrivilegeUse
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die generiert werden, wenn vertrauliche Berechtigungen (Benutzerrechte) verwendet werden, z. B.: Ein privilegierter Dienst wird aufgerufen. Eine der folgenden Berechtigungen wird aufgerufen: Als Teil des Betriebssystems fungieren. Sichern von Dateien und Verzeichnissen. Erstellen Sie ein Tokenobjekt. Debuggen von Programmen. Aktivieren Sie Computer- und Benutzerkonten für die Delegierung als vertrauenswürdig. Generieren von Sicherheitsüberwachungen. Annehmen der Identität eines Clients nach der Authentifizierung. Laden und Entladen von Gerätetreibern. Verwalten von Überwachungs- und Sicherheitsprotokollen. Ändern Sie die Werte der Firmwareumgebung. Ersetzen Sie ein Token auf Prozessebene. Stellen Sie Dateien und Verzeichnisse wieder her. Übernehmen Sie den Besitz von Dateien oder anderen Objekten.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn vertrauliche Berechtigungsanforderungen gestellt werden. Erfolgsüberwachungen zeichnen erfolgreiche Anforderungen auf, und Fehlerüberwachungen erfassen nicht erfolgreiche Anforderungen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn vertrauliche Berechtigungsanforderungen gestellt werden.
Volumen: Hoch.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sensible Verwendung von Rechten überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien > Berechtigungsverwendung |
System_AuditIPsecDriver
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die vom IPsec-Filtertreiber generiert werden, z. B. die folgenden: Starten und Herunterfahren der IPsec-Dienste. Netzwerkpakete wurden aufgrund eines Integritätsprüfungsfehlers verworfen. Netzwerkpakete, die aufgrund eines Wiederholungsprüfungsfehlers verworfen wurden. Netzwerkpakete, die aufgrund von Klartext verworfen wurden. Netzwerkpakete, die mit falschem Sicherheitsparameterindex (SPI) empfangen werden. Dies kann darauf hindeuten, dass entweder das Netzwerk Karte nicht ordnungsgemäß funktioniert oder der Treiber aktualisiert werden muss. Unfähigkeit, IPsec-Filter zu verarbeiten.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis für einen IPsec-Filtertreibervorgang generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird für einen IPSec-Filtertreibervorgang kein Überwachungsereignis generiert.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | IPsec-Treiber überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem > |
System_AuditOtherSystemEvents
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
Mit dieser Richtlinieneinstellung können Sie jedes der folgenden Ereignisse überwachen: Starten und Herunterfahren des Windows-Firewalldiensts und -Treibers. Verarbeitung von Sicherheitsrichtlinien durch den Windows-Firewalldienst. Kryptografieschlüsseldatei und Migrationsvorgänge.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 (Standard) | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Andere Systemereignisse überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem > |
System_AuditSecurityStateChange
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die durch Änderungen des Sicherheitsstatus des Computers generiert werden, z. B. die folgenden Ereignisse: Starten und Herunterfahren des Computers. Änderung der Systemzeit. Wiederherstellung des Systems aus CrashOnAuditFail, das nach dem Neustart eines Systems protokolliert wird, wenn das Sicherheitsereignisprotokoll voll ist und der Registrierungseintrag CrashOnAuditFail konfiguriert ist.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 (Standard) | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sicherheitsstatusänderung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem > |
System_AuditSecuritySystemExtension
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die sich auf Sicherheitssystemerweiterungen oder -dienste beziehen, z. B. die folgenden: Eine Sicherheitssystemerweiterung, z. B. eine Authentifizierung, Benachrichtigung oder ein Sicherheitspaket, wird geladen und bei der lokalen Sicherheitsautorität (Local Security Authority, LSA) registriert. Es wird verwendet, um Anmeldeversuche zu authentifizieren, Anmeldeanforderungen zu übermitteln und um Konto- oder Kennwortänderungen zu ändern. Beispiele für Sicherheitssystemerweiterungen sind Kerberos und NTLM. Ein Dienst wird installiert und beim Dienststeuerungs-Manager registriert. Das Überwachungsprotokoll enthält Informationen zu Dienstname, Binärdatei, Typ, Starttyp und Dienstkonto.
Wenn Sie diese Richtlinieneinstellung konfigurieren, wird beim Versuch, eine Sicherheitssystemerweiterung zu laden, ein Überwachungsereignis generiert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, und Fehlerüberwachungen zeichnen fehlgeschlagene Versuche auf.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird beim Versuch, eine Sicherheitssystemerweiterung zu laden, kein Überwachungsereignis generiert.
Volumen: Niedrig. Sicherheitssystemerweiterungsereignisse werden häufiger auf einem Domänencontroller als auf Clientcomputern oder Mitgliedsservern generiert.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Sicherheitssystemerweiterung überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem > |
System_AuditSystemIntegrity
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.1039] und höher ✅Windows 10, Version 1809 [10.0.17763.774] und höher ✅Windows 10, Version 1903 [10.0.18362.329] und höher ✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
Mit dieser Richtlinieneinstellung können Sie Ereignisse überwachen, die die Integrität des Sicherheitssubsystems verletzen, z. B.: Ereignisse, die aufgrund eines Problems mit dem Überwachungssystem nicht in das Ereignisprotokoll geschrieben werden konnten. Ein Prozess, der einen LPC-Port (Local Procedure Call) verwendet, der nicht gültig ist, um die Identität eines Clients durch Antworten, Lesen oder Schreiben in oder aus einem Clientadressraum zu annehmen. Die Erkennung eines Remoteprozeduraufrufs (RPC), der die Systemintegrität gefährdet. Die Erkennung eines Hashwerts einer ausführbaren Datei, die aufgrund der Codeintegrität ungültig ist. Kryptografische Vorgänge, die die Systemintegrität gefährden.
Volumen: Niedrig.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 3 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Aus/Keine. |
| 1 | Erfolgreich. |
| 2 | Fehler. |
| 3 (Standard) | Erfolg+Fehler. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Systemintegrität überwachen |
| Pfad | Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > SystemüberwachungsrichtlinienSystem > |
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für