Überwachungsrichtlinie
technet.microsoft.com/de-at/library/dd443750.aspx
Anmeldeversuche überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob jede Benutzeranmeldung oder -abmeldung auf einem Computer, der nicht mit dem Computer identisch ist, auf dem das Ereignis aufgezeichnet und das Konto bestätigt wird, überwacht werden soll.
Wenn die Einstellung Anmeldeversuche überwachen als Erfolgsüberwachung auf einem Domänencontroller konfiguriert ist, wird zu jedem für diesen Domänencontroller überprüften Benutzer ein Protokolleintrag erstellt, auch wenn sich der Benutzer tatsächlich an einer Arbeitsstation oder einem Server dieser Domäne anmeldet.
Anmeldeereignisse überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob jede Benutzeranmeldung bzw. -abmeldung oder Netzwerkverbindung auf dem Computer, auf dem das Überwachungsereignis aufgezeichnet wird, überwacht werden soll. Wenn Sie auf einem Domänencontroller Überwachungsereignisse für erfolgreiche Kontoanmeldungen protokollieren, werden durch Anmeldeversuche an einer Arbeitsstation keine Anmeldeüberwachungsereignisse erzeugt. Anmeldeereignisse auf dem Domänencontroller werden nur durch Versuche der interaktiven Anmeldung und Netzwerkanmeldung am Domänencontroller selbst erzeugt. Kurz gesagt, Kontoanmeldeereignisse werden dort erzeugt, wo sich das Konto befindet, und Anmeldeereignisse werden dort erzeugt, wo der Anmeldeversuch erfolgt.
Kontenverwaltung überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob jedes Kontenverwaltungsereignis auf einem Computer überwacht werden soll. Folgende Ereignisse sind beispielsweise als Kontenverwaltungsereignisse definiert:
- Erstellen, Ändern oder Löschen eines Benutzerkontos oder einer Gruppe
- Umbenennen, Deaktivieren oder Aktivieren eines Benutzerkontos
- Festlegen oder Ändern eines Kennworts
Wenn Sie die Einstellung Kontenverwaltung überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Kontenverwaltungsereignis erfolgreich durchgeführt wurde. Sie sollte auf allen Computern in Ihrem Unternehmen aktiviert sein. Wenn eine Organisation auf Sicherheitsverletzungen reagiert, ist es von entscheidender Bedeutung, dass verfolgt werden kann, wer ein Konto erstellt, geändert oder gelöscht hat.
Objektzugriffsversuche überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzerzugriffe auf ein Objekt (z. B. Datei, Ordner, Registrierungsschlüssel oder Drucker) mit einer SACL überwacht werden sollen, in der eine Überwachungsanforderung definiert wird.
Richtlinienänderungen überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob jede Änderung in Bezug auf Richtlinien für die Zuweisung von Benutzerrechten, Windows-Firewall-Richtlinien, Überwachungsrichtlinien oder Vertrauensrichtlinien überwacht werden soll.
Rechteverwendung überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob jede Ausübung eines Benutzerrechts durch Benutzer überwacht werden soll.
Prozessverfolgung überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob detaillierte Überwachungsinformationen für Ereignisse wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff erfasst werden.
Systemereignisse überwachen
Durch diese Richtlinieneinstellung wird festgelegt, ob der Neustart und das Herunterfahren eines Computers sowie das Auftreten eines Ereignisses, das sich auf die Computersicherheit oder das Sicherheitsprotokoll auswirkt, überwacht werden sollen.