Konfigurieren von Audit-Richtlinien - Manuelle Konfiguration

Audit-Richtlinien müssen konfiguriert werden, um sicherzustellen, dass Ereignisse protokolliert werden, wann immer eine Aktivität stattfindet.

Konfigurieren von erweiterten Audit-Richtlinien

Erweiterte Audit-Richtlinien helfen Administratoren, die Kontrolle über die im Protokoll aufgezeichneten Aktivitäten zu verfeinern und so das Rauschen der Ereignisse zu reduzieren. Es wird empfohlen, dass erweiterte Audit-Richtlinien auf Domänencontrollern konfiguriert werden, die unter Windows Server 2008 und höher laufen.

• Melden Sie sich an einem Computer mit der Gruppenrichtlinienverwaltungs-Konsole (GPMC) mit Domänenadministrator-Anmeldeinformationen an → Öffnen Sie GPMC → Rechtsklick auf Standardrichtlinie für Domänencontroller → Bearbeiten.
• Im Gruppenrichtlinienverwaltungs-Editor → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Audit-Richtlinienkonfiguration → Audit-Richtlinien, Doppelklick auf die relevante Richtlinieneinstellung.
• Navigieren Sie zum rechten Bereich → Rechtsklick auf die relevante Unterkategorie, und klicken Sie dann auf Eigenschaften → Wählen Sie Erfolg, Fehler oder beides aus, wie in der unten stehenden Tabelle angegeben.

Kategorie	Unterkategorie	Audit-Ereignisse
Kontenanmeldung	Kerberos-Authentifizierungsdienst prüfen	Erfolg und Fehler
Kontoverwaltung	Verwaltung von Computerkonten prüfen Verwaltung von Verteilergruppen prüfen Verwaltung von Sicherheitsgruppen prüfen	Erfolg
	Verwaltung von Benutzerkonten prüfen	Erfolg und Fehler
Detailliertes Tracking	Prozesserstellung prüfen Beendigung von Prozessen prüfen	Erfolg
DS-Zugriff	Änderungen in Verzeichnisdiensten prüfen Zugriff auf Verzeichnisdienste prüfen	Erfolg
Anmeldung/Abmeldung	Anmeldung prüfen Netzwerkrichtlinien-Server prüfen	Erfolg und Fehler
	Andere Anmelde-/Abmeldeereignisse prüfen Abmeldung prüfen	Erfolg
Objektzugriff	Andere Objektzugriffsereignisse prüfen	Erfolg
Richtlinienänderung	Änderung der Authentifizierungsrichtlinie prüfen Änderung der Autorisierungsrichtlinie prüfen	Erfolg
System	Änderung des Sicherheitsstatus prüfen	Erfolg

Abgebildet: Kategorie Kontenanmeldung → Unterkategorie Kerberos-Authentifizierungsdienst prüfen → Erfolg und Fehler konfiguriert.

Durchsetzung erweiterter Audit-Richtlinien

Bei der Verwendung von erweiterten Überwachungsrichtlinien stellen Sie sicher, dass sie über den herkömmlichen Überwachungsrichtlinien erzwungen werden.

• Melden Sie sich an einem Computer mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC) mit Domain-Admin-Berechtigungen an → Öffnen Sie die GPMC → Rechtsklick auf Standardrichtlinie für Domänencontroller → Bearbeiten.
• Im Gruppenrichtlinienverwaltungs-Editor → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
• Wechseln Sie zum rechten Bereich → Rechtsklick auf Überwachung: Auditrichtlinien-Unterkategorieeinstellungen erzwingen → Eigenschaften → Aktivieren.

Konfigurieren von herkömmlichen Überwachungsrichtlinien

Die Option zur Konfiguration von erweiterten Überwachungsrichtlinien ist in Windows Server 2003 und älteren Versionen nicht verfügbar. Daher müssen Sie für diese Systeme die herkömmlichen Überwachungsrichtlinien konfigurieren.

• Melden Sie sich an einem Computer mit der Gruppenrichtlinien-Verwaltungskonsole (GPMC) mit Domain-Admin-Berechtigungen an → Öffnen Sie die GPMC → Rechtsklick auf Standardrichtlinie für Domänencontroller → Bearbeiten.
• Im Gruppenrichtlinienverwaltungs-Editor → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Doppelklick auf Überwachungsrichtlinie.
• Wechseln Sie zum rechten Bereich → Rechtsklick auf die relevante Richtlinie, und dann Eigenschaften anklicken → Wählen Sie Erfolg, Fehler oder beides, wie in der folgenden Tabelle angegeben aus-

Kategorie	Überwachungsereignisse
Kontenanmeldung	Erfolg und Fehler
Anmelde-/Abmeldevorgang	Erfolg und Fehler
Kontoverwaltung	Erfolg
Verzeichnisdienstzugriff	Erfolg
Prozessverfolgung	Erfolg
Objektzugriff	Erfolg
Systemereignisse	Erfolg

Bild zeigt: Kategorie "Kontenanmeldungsevents überwachen" → Sowohl Erfolg als auch Fehler konfiguriert.

Hinweis: Um die Überwachung von NTLM-Ereignissen zu aktivieren, melden Sie sich bei der Webkonsole von ADAudit Plus an → Klicken Sie auf die Support-Registerkarte  > Unter Support-Informationen, klicken Sie auf Mehr > Unter Konfiguration, klicken Sie auf Konfigurationseinstellungen aktivieren/deaktivieren > NTLM-Überwachung aktivieren.