Auditrichtlinien manuell konfigurieren

Liste der zu auditierenden Windows-Server konfigurieren

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie Neu > Gruppe.
3. Geben Sie im Fenster Neues Objekt - Gruppe, das sich öffnet, “ADAuditPlusMS” als Gruppenname ein, wählen Sie Gruppenscope: Domain Local und Gruppentyp: Sicherheit. Klicken Sie auf OK.
4. Klicken Sie mit der rechten Maustaste auf die neu erstellte Gruppe und wählen Sie Eigenschaften > Mitglieder > Hinzufügen. Fügen Sie alle Windows-Server hinzu, die Sie auditieren möchten, als Mitglieder dieser Gruppe hinzu. Klicken Sie auf OK.
5. Loggen Sie sich mit den Anmeldedaten des Domain-Administrators an einem Computer ein, der die Gruppenrichtlinien-Verwaltungskonsole (GPMC) installiert hat.

   Hinweis: Die GPMC wird standardmäßig nicht auf Arbeitsplatzrechnern und/oder Mitgliedsservern installiert oder aktiviert, daher empfehlen wir, Auditrichtlinien auf Windows-Domänencontrollern zu konfigurieren. Andernfalls befolgen Sie die Schritte auf dieser Seite, um die GPMC auf Ihrem gewünschten Mitgliedsserver oder Arbeitsplatz zu installieren.

6. Gehen Sie zu Start > Windows-Verwaltungstools > Gruppenrichtlinienverwaltung.
7. Klicken Sie in der GPMC mit der rechten Maustaste auf die Domain, in der Sie die Gruppenrichtlinie konfigurieren möchten. Wählen Sie Eine GPO erstellen und hier verknüpfen. Geben Sie im Fenster Neue GPO, das sich öffnet, “ADAuditPlusMSPolicy” ein und klicken Sie auf OK.
8. Wählen Sie die ADAuditPlusMSPolicy GPO aus. Unter Sicherheitsfilterung wählen Sie Authentifizierte Benutzer. Klicken Sie auf Entfernen. Wählen Sie im sich öffnenden Fenster Gruppenrichtlinienverwaltung OK.
9. Wählen Sie die ADAuditPlusMSPolicy GPO aus. Unter Sicherheitsfilterung klicken Sie auf Hinzufügen und wählen Sie die zuvor erstellte Sicherheitsgruppe ADAuditPlusMS aus. Klicken Sie auf OK.

Erweiterte Auditrichtlinien konfigurieren 

Erweiterte Auditrichtlinien helfen Administratoren, die granular Kontrollen darüber auszuüben, welche Aktivitäten in den Protokollen aufgezeichnet werden, was dazu beiträgt, die Ereignisgeräuschkulisse zu reduzieren. Wir empfehlen, die erweiterten Auditrichtlinien auf Windows Server 2008 und höher zu konfigurieren.

1. Melden Sie sich mit den Anmeldedaten des Domain-Administrators an einem Computer an, der die GPMC hat. Öffnen Sie die GPMC, klicken Sie dann mit der rechten Maustaste auf ADAuditPlusMSPolicy und wählen Sie Bearbeiten.
2. Im Gruppenrichtlinien-Verwaltungseditor gehen Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Audit-Richtlinienkonfiguration → Audit-Richtlinie. Doppelklicken Sie auf die relevante richtlinieneinstellung. 
3. Navigieren Sie zum rechten Bereich und klicken Sie mit der rechten Maustaste auf die relevante Unterkategorie. Wählen Sie Eigenschaften, und wählen Sie dann Erfolg, Fehler, oder beides, wie in der untenstehenden Tabelle angegeben.

Kategorie	Unterkategorie	Auditereignisse
Kontenverwaltung	Audit Verwaltung von Computer-Konten Audit Verwaltung von Verteilergruppen Audit Verwaltung von Sicherheitsgruppen Audit Verwaltung von Benutzerkonten	Erfolg Erfolg und Misserfolg
Detaillierte Verfolgung	Audit Prozesscreation Audit Prozessbeendigung	Erfolg
DS-Zugriff	Audit Änderungen am Verzeichnisdienst  Audit Zugriff auf den Verzeichnisdienst	Erfolg
Anmeldung/Abmeldung	Audit Anmeldung Audit Netzwerk-Richtlinienserver Audit andere Anmelde-/Abmeldeereignisse Audit Abmeldung	Erfolg und Misserfolg Erfolg
Objektzugriff	Audit Dateisystem Audit Handle-Manipulation Audit Dateifreigabe	Erfolg und Misserfolg
Änderung der Richtlinien	Audit Änderung der Authentifizierungsrichtlinie Audit Änderung der Autorisierungsrichtlinie	Erfolg
System	Audit Änderung des Sicherheitsstatus	Erfolg

Erzwingen fortgeschrittener Audit-Richtlinien

Beim Einsatz von fortgeschrittenen Audit-Richtlinien sicherstellen, dass sie die alten Audit-Richtlinien erzwingen. 

1. Loggen Sie sich an einem Computer mit der GPMC mit den Anmeldedaten des Domain-Admins ein. Öffnen Sie die GPMC, klicken Sie mit der rechten Maustaste auf ADAuditPlusMSPolicy, und wählen Sie Bearbeiten.
2. Gehen Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerconfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
3. Navigieren Sie zum rechten Bereich, klicken Sie dann mit der rechten Maustaste auf Audit: Erzwingen der Einstellungen für die Audit-Subkategorie. Wählen Sie Eigenschaften, und dann Aktivieren.

Konfigurieren von veralteten Prüfungsrichtlinien

Aufgrund der Nichtverfügbarkeit von erweiterten Prüfungsrichtlinien in Windows Server 2003 und früheren Versionen müssen veraltete Prüfungsrichtlinien für diese Servertypenkonfiguriert werden.

1. Melden Sie sich an einem Computer an, der die GPMC mit Domain-Admin-Anmeldeinformationen hat. Öffnen Sie die GPMC, klicken Sie mit der rechten Maustaste auf ADAuditPlusMSPolicy und wählen Sie Bearbeiten.
2. Gehen Sie im Gruppenrichtlinien-Management-Editor zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien und doppelklicken Sie auf Prüfungsrichtlinie.
3. Navigieren Sie zum rechten Bereich und klicken Sie mit der rechten Maustaste auf die relevante Richtlinie. Wählen Sie Eigenschaften, und wählen Sie dann Erfolg, Misserfolg oder beides, wie in der folgenden Tabelle angegeben:

Kategorie	Prüfungsereignisse
Kontoanmeldung	Erfolg und Misserfolg
Prüfung Anmeldung/Abmeldung	Erfolg und Misserfolg
Kontoverwaltung	Erfolg
Zugriff auf das Verzeichnisdienst	Erfolg
Prozessverfolgung	Erfolg
Objektzugriff	Erfolg
Systemereignisse	Erfolg