Konfigurieren von Überwachungsrichtlinien - Manuelle Konfiguration

Überwachungsrichtlinien müssen konfiguriert werden, um sicherzustellen, dass Ereignisse protokolliert werden, wann immer eine Aktivität auftritt.

Liste der zu prüfenden Windows-Dateiserver konfigurieren

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Neu > Gruppe.
3. Geben Sie im sich öffnenden Fenster Neues Objekt - Gruppe „ADAuditPlusFS“ als Gruppenname ein, wählen Sie Gruppenbereich: Domänenlokal und Gruppentyp: Sicherheit. Klicken Sie auf OK.
4. Klicken Sie mit der rechten Maustaste auf die neu erstellte Gruppe und wählen Sie dann Eigenschaften > Mitglieder > Hinzufügen. Fügen Sie alle Windows-Dateiserver, die Sie prüfen möchten, als Mitglied dieser Gruppe hinzu. Klicken Sie auf OK.
5. Melden Sie sich mit Domänenadministrator-Anmeldedaten an einem Computer an, auf dem die Gruppenrichtlinien-Verwaltungskonsole (GPMC) vorhanden ist.

Hinweis: Die GPMC wird standardmäßig nicht auf Arbeitsstationen und/oder Mitgliedsservern installiert oder aktiviert. Daher empfehlen wir, Überwachungsrichtlinien auf Windows-Domänencontrollern zu konfigurieren. Andernfalls folgen Sie den Schritten auf dieser Seite, um die GPMC auf dem gewünschten Mitgliedsserver oder der Workstation zu installieren.

6. Gehen Sie zu Start > Verwaltungstools > Gruppenrichtlinienverwaltung.
7. Klicken Sie in der GPMC mit der rechten Maustaste auf die Domäne, in der Sie die Gruppenrichtlinie konfigurieren möchten. Wählen Sie Ein GPO erstellen und hier verknüpfen. Geben Sie im sich öffnenden Fenster Neues GPO „ADAuditPlusFSPolicy“ ein und klicken Sie auf OK.
8. Wählen Sie das ADAuditPlusFSPolicy-GPO aus. Unter Sicherheitsfilterung wählen Sie Authentifizierte Benutzer. Klicken Sie auf Entfernen. Klicken Sie im sich öffnenden Fenster Gruppenrichtlinienverwaltung auf OK.
9. Wählen Sie das ADAuditPlusFSPolicy-GPO aus. Unter Sicherheitsfilterung klicken Sie auf Hinzufügen und wählen Sie die zuvor erstellte Sicherheitsgruppe ADAuditPlusFS aus. Klicken Sie auf OK.

Erweiterte Überwachungsrichtlinien konfigurieren

Erweiterte Überwachungsrichtlinien helfen Administratoren, eine feingranulare Kontrolle darüber zu haben, welche Aktivitäten in den Protokollen erfasst werden, und reduzieren dadurch Ereignisgeräusch. Wir empfehlen, erweiterte Überwachungsrichtlinien auf Windows Server 2008 und höher zu konfigurieren.

1. Um dies einzurichten, bearbeiten Sie <ADAuditPlusFSPolicy>, indem Sie mit der rechten Maustaste auf die Richtlinie klicken und Bearbeiten auswählen.
2. Gehen Sie zu Konfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration und konfigurieren Sie die folgenden Einstellungen.

Kategorie	Unterkategorie	Überwachungsereignisse	Zweck
Objektzugriff	Audit-Dateisystem Audit-Dateifreigabe Audit-Bearbeitungsmanipulation	Erfolg, Fehler Erfolg Erfolg, Fehler	Dateifreigabeüberwachung
Richtlinienänderung	Audit-Richtlinienänderung Autorisierungsrichtlinienänderung	Erfolg, Fehler Erfolg	Dateiberechtigungsänderungsauditierung

Erzwingen erweiterter Audit-Richtlinien

Beim Verwenden erweiterter Audit-Richtlinien stellen Sie sicher, dass sie über ältere Audit-Richtlinien erzwungen werden.

1. Aktivieren Sie die Unterkategorie-Einstellungen der Audit-Richtlinie in <ADAuditPlusFSPolicy>.
2. Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Audit: Erzwingen der Unterkategorie-Einstellungen der Audit-Richtlinie (Windows Vista oder später), um die Kategorie-Einstellungen der Audit-Richtlinie zu überschreiben.

Konfigurieren veralteter Audit-Richtlinien

Aufgrund der Nichtverfügbarkeit erweiterter Audit-Richtlinien in Windows Server 2003 und früheren Versionen müssen für diese Art von Servern veraltete Audit-Richtlinien konfiguriert werden.

1. Um dies einzurichten, bearbeiten Sie <ADAuditPlusFSPolicy>, indem Sie mit der rechten Maustaste auf die Richtlinie klicken und Bearbeiten auswählen.
2. Navigieren Sie zu Konfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Audit-Richtlinienkonfiguration und konfigurieren Sie die folgenden Einstellungen.

Kategorie	Audit-Ereignisse	Zweck
Objektzugriff	Erfolg, Fehler	Dateifreigabeüberwachung Dateiintegritätsüberwachung Dateiberechtigungsänderungsauditierung