In diesem Artikel zeige ich Ihnen, wie Sie die Überwachungsrichtlinie auf Windows Server 2016 konfigurieren. Wie in unseren vorherigen Themen haben wir Ihnen erklärt, wie Sie die Sperrrichtlinie und die Kennwortrichtlinie auf Windows Server 2016 konfigurieren. Konfigurieren Audit-Richtlinie kann auf Microsoft Windows Server 2003, Windows Server 2008, Server 2012 und Windows 10 Betriebssystem mit seinen früheren Versionen angewendet werden.

Was ist Audit-Richtlinie?

Wann immer Sie die Überwachungsrichtlinie in konfigurieren Windows Server oder irgendein Kunde. Diese Richtlinie ermöglicht oder hilft Ihnen dabei, Informationen darüber zu erhalten, wer sich bei Ihrem Computer angemeldet hat. Wann er oder sie sich angemeldet hat oder von wo aus sich dieser Benutzer angemeldet hat. Und Ihnen Informationen über alle Arten von Ereignissen geben, die auf diesem Computer passieren. Durch Konfigurieren der Überwachungsrichtlinie können Sie all diese Informationen abrufen. Um mehr über diese Veranstaltungen zu erfahren, gehen Sie zum Veranstaltungsbereich und nehmen Sie alle Informationen auf. Nun werden wir die folgenden Richtlinien erläutern.

#1. Audit-Kontoanmeldeereignisse

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem jedes Mal überprüft, wenn dieser Computer die Anmeldeinformationen eines Kontos validiert.

Kontoanmeldeereignisse werden immer dann generiert, wenn ein Computer die Anmeldeinformationen eines Kontos validiert, für das er autorisierend ist. Domänenmitglieder und nicht in die Domäne eingebundene Maschinen sind für ihre lokalen Konten autorisierend; Domänencontroller sind alle autorisierend für Konten in der Domäne. Die Überprüfung der Anmeldeinformationen kann eine lokale Anmeldung unterstützen oder, im Fall eines Active Directory-Domänenkontos auf einem Domänencontroller, eine Anmeldung bei einem anderen Computer unterstützen. Die Validierung der Anmeldeinformationen ist zustandslos, daher gibt es kein entsprechendes Abmeldeereignis für Kontoanmeldeereignisse.

Audit Account Logon EventsAudit Account Logon Events" data-image-caption="

Audit Account Logon Events

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-300x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events.jpg" loading="lazy" class="size-full wp-image-2083" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events.jpg" alt="Audit-Kontoanmeldeereignisse" width="417" height="416" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-150x150.jpg 150w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-300x300.jpg 300w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-50x50.jpg 50w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-100x100.jpg 100w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-137x137.jpg 137w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Logon-Events-65x65.jpg 65w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Audit-Kontoanmeldeereignisse

Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht überwacht werden sollen.

Siehe auch  Ich kann mir nicht vorstellen, Windows ohne die Everything-App zu verwenden

#2. Audit-Kontoverwaltung

Diese Sicherheitseinstellung bestimmt, ob jedes Ereignis der Kontoverwaltung auf einem Computer überwacht wird. Beispiele für Kontoverwaltungsereignisse sind:

  • Ein Benutzerkonto oder eine Gruppe wird erstellt, geändert oder gelöscht.
  • Ein Benutzerkonto wird umbenannt, deaktiviert oder aktiviert.
  • Ein Passwort wird gesetzt oder geändert.

Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht oder der Ereignistyp überhaupt nicht überwacht werden soll. Erfolgsprüfungen generieren einen Prüfeintrag, wenn ein beliebiges Kontoverwaltungsereignis erfolgreich ist. Fehlerprüfungen generieren einen Prüfeintrag, wenn ein Kontoverwaltungsereignis fehlschlägt. Um diesen Wert auf Keine Überwachung festzulegen, aktivieren Sie im Dialogfeld Eigenschaften für diese Richtlinieneinstellung das Kontrollkästchen Diese Richtlinieneinstellungen definieren und deaktivieren Sie die Kontrollkästchen Erfolg und Fehler.

Audit Account ManagementAudit Account Management" data-image-caption="

Audit Account Management

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Account-Management-300x295.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Account-Management.jpg" loading="lazy" class="size-full wp-image-2084" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Account-Management.jpg" alt="Audit-Kontoverwaltung" width="417" height="410" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Management.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Management-300x295.jpg 300w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Management-50x50.jpg 50w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Account-Management-65x65.jpg 65w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Audit-Kontoverwaltung

#3. Verzeichnisdienstzugriff prüfen

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem Benutzerversuche überwacht, auf Active Directory-Objekte zuzugreifen. Die Prüfung wird nur für Objekte generiert, für die Systemzugriffskontrolllisten (SACL) angegeben sind, und nur dann, wenn der angeforderte Zugriffstyp (z. B. Schreiben, Lesen oder Ändern) und das Konto, das die Anforderung stellt, mit den Einstellungen in der SACL übereinstimmen.

Der Administrator kann angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht (dh weder Erfolge noch Fehler) überwacht werden sollen. Wenn die Erfolgsüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Konto erfolgreich auf ein Verzeichnisobjekt zugreift, für das eine übereinstimmende SACL angegeben ist.

Audit Directory Service AccessAudit Directory Service Access" data-image-caption="

Audit Directory Service Access

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access-292x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access.jpg" loading="lazy" class="size-full wp-image-2085" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access.jpg" alt="Verzeichnisdienstzugriff prüfen" width="417" height="428" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access-292x300.jpg 292w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Directory-Service-Access-50x50.jpg 50w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Verzeichnisdienstzugriff prüfen

Wenn die Fehlerüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolglos versucht, auf ein Verzeichnisobjekt zuzugreifen, für das eine übereinstimmende SACL angegeben ist.

#4. Audit-Anmeldeereignisse

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem jede Instanz eines Benutzers überwacht, der versucht, sich an diesem Computer anzumelden oder sich von diesem abzumelden. Abmeldeereignisse werden immer dann generiert, wenn die Anmeldesitzung eines angemeldeten Benutzerkontos beendet wird. Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht überwacht werden sollen.

Audit Logon EventsAudit Logon Events" data-image-caption="

Audit Logon Events

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Logon-Events-289x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Logon-Events.jpg" loading="lazy" class="size-full wp-image-2086" alt="Audit-Anmeldeereignisse" width="417" height="433" srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Logon-Events.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Logon-Events-289x300.jpg 289w" sizes="(max-width: 417px) 100vw, 417px"/>

Audit-Anmeldeereignisse

#5. Objektzugriff prüfen

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem Benutzerversuche überwacht, auf Nicht-Active Directory-Objekte zuzugreifen. Die Prüfung wird nur für Objekte generiert, für die Systemzugriffskontrolllisten (SACL) angegeben sind, und nur dann, wenn der angeforderte Zugriffstyp (z. B. Schreiben, Lesen oder Ändern) und das Konto, das die Anforderung stellt, mit den Einstellungen in der SACL übereinstimmen.

Siehe auch  Top 5 der besten Torrent-Software-Downloader (Torrent-Clients) im Jahr 2023

Der Administrator kann angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht überwacht werden sollen.

Wenn die Erfolgsüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Konto erfolgreich auf ein Nicht-Verzeichnisobjekt zugreift, für das eine übereinstimmende SACL angegeben ist.

Audit Object AccessAudit Object Access" data-image-caption="

Audit Object Access

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Object-Access-296x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Object-Access.jpg" loading="lazy" class="size-full wp-image-2087" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Object-Access.jpg" alt="Objektzugriff prüfen" width="417" height="422" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Object-Access.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Object-Access-296x300.jpg 296w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Object-Access-50x50.jpg 50w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Object-Access-100x100.jpg 100w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Object-Access-65x65.jpg 65w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Objektzugriff prüfen

Wenn die Fehlerüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn ein Benutzer erfolglos versucht, auf ein Nicht-Verzeichnisobjekt zuzugreifen, für das eine übereinstimmende SACL angegeben ist. Beachten Sie, dass Sie eine SACL für ein Dateisystemobjekt festlegen können, indem Sie die Registerkarte „Sicherheit“ im Dialogfeld „Eigenschaften“ dieses Objekts verwenden.

#6. Änderung der Audit-Richtlinie

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem jede Instanz von Versuchen überwacht, die Zuweisungsrichtlinie für Benutzerrechte, die Überwachungsrichtlinie, die Kontorichtlinie oder die Vertrauensrichtlinie zu ändern. Der Administrator kann angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht (dh weder Erfolge noch Fehler) überwacht werden sollen.

Wenn die Erfolgsüberwachung aktiviert ist, wird ein Überwachungseintrag generiert, wenn eine versuchte Änderung an der Zuweisungsrichtlinie für Benutzerrechte, der Überwachungsrichtlinie oder der Vertrauensrichtlinie erfolgreich ist.

Audit Policy ChangeAudit Policy Change" data-image-caption="

Audit Policy Change

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Policy-Change-294x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Policy-Change.jpg" loading="lazy" class="size-full wp-image-2088" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Policy-Change.jpg" alt="Änderung der Audit-Richtlinie" width="417" height="425" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Policy-Change.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Policy-Change-294x300.jpg 294w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Policy-Change-50x50.jpg 50w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Policy-Change-65x65.jpg 65w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Änderung der Audit-Richtlinie

Wenn die Fehlerüberwachung aktiviert ist, wird ein Überwachungseintrag generiert, wenn eine versuchte Änderung der Richtlinie zur Zuweisung von Benutzerrechten, der Überwachungsrichtlinie oder der Vertrauensrichtlinie von einem Konto versucht wird, das nicht berechtigt ist, die angeforderte Richtlinienänderung vorzunehmen.

#7. Verwendung von Audit-Privilegien

Diese Sicherheitseinstellung bestimmt, ob jede Instanz eines Benutzers, der ein Benutzerrecht ausübt, überwacht wird. Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht oder diese Art von Ereignis überhaupt nicht überwacht werden soll. Erfolgsprüfungen generieren einen Prüfeintrag, wenn die Ausübung eines Benutzerrechts erfolgreich ist. Fehlerprüfungen erzeugen einen Prüfeintrag, wenn die Ausübung eines Benutzerrechts fehlschlägt.

Audit Privilege UseAudit Privilege Use" data-image-caption="

Audit Privilege Use

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Privilege-Use-292x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Privilege-Use.jpg" loading="lazy" class="size-full wp-image-2089" data-wpfc-original-src="http://www.Wikigain.com/wp-content/uploads/2016/02/Audit-Privilege-Use.jpg" alt="Verwendung von Audit-Privilegien" width="417" height="428" data-wpfc-original-srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Privilege-Use.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Privilege-Use-292x300.jpg 292w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Privilege-Use-50x50.jpg 50w" data-wpfc-original-sizes="(max-width: 417px) 100vw, 417px"/>

Verwendung von Audit-Privilegien

Um diesen Wert auf Keine Überwachung festzulegen, aktivieren Sie im Dialogfeld Eigenschaften für diese Richtlinieneinstellung das Kontrollkästchen Diese Richtlinieneinstellungen definieren und deaktivieren Sie die Kontrollkästchen Erfolg und Fehler.

Siehe auch  So überprüfen Sie den Garantiestatus des Laptops

#8. Audit-Prozessverfolgung

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem prozessbezogene Ereignisse wie Prozesserstellung, Prozessbeendigung, Handle-Duplizierung und indirekten Objektzugriff überwacht. Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht überwacht werden sollen.

Audit Process TrackingAudit Process Tracking" data-image-caption="

Audit Process Tracking

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Process-Tracking-282x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-Process-Tracking.jpg" loading="lazy" class="size-full wp-image-2090" alt="Audit-Prozessverfolgung" width="417" height="444" srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Process-Tracking.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-Process-Tracking-282x300.jpg 282w" sizes="(max-width: 417px) 100vw, 417px"/>

Audit-Prozessverfolgung

Wenn die Erfolgsüberwachung aktiviert ist, wird jedes Mal, wenn das Betriebssystem eine dieser prozessbezogenen Aktivitäten durchführt, ein Überwachungseintrag generiert. Wenn die Fehlerüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn das Betriebssystem eine dieser Aktivitäten nicht ausführt.

#9. Audit-Systemereignisse

Diese Sicherheitseinstellung bestimmt, ob das Betriebssystem eines der folgenden Ereignisse prüft:

  • Versuchte Änderung der Systemzeit
  • Versuchter Start oder Herunterfahren des Sicherheitssystems
  • Versuchen Sie, erweiterbare Authentifizierungskomponenten zu laden
  • Verlust von geprüften Ereignissen aufgrund eines Ausfalls des Prüfsystems
  • Die Größe des Sicherheitsprotokolls überschreitet einen konfigurierbaren Warnschwellenwert.

Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge, nur Fehler, sowohl Erfolge als auch Fehler oder diese Ereignisse überhaupt nicht (dh weder Erfolge noch Fehler) überwacht werden sollen.

Audit System EventsAudit System Events" data-image-caption="

Audit System Events

" data-medium-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-System-Events-287x300.jpg" data-large-file="https://www.wikigain.com/wp-content/uploads/2016/02/Audit-System-Events.jpg" loading="lazy" class="size-full wp-image-2091" alt="Audit-Systemereignisse" width="417" height="436" srcset="https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-System-Events.jpg 417w, https://g6k7x4j6.stackpathcdn.com/wp-content/uploads/2016/02/Audit-System-Events-287x300.jpg 287w" sizes="(max-width: 417px) 100vw, 417px"/>

Audit-Systemereignisse

Wenn die Erfolgsüberwachung aktiviert ist, wird jedes Mal, wenn das Betriebssystem eine dieser Aktivitäten erfolgreich ausführt, ein Überwachungseintrag generiert. Wenn die Fehlerüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn das Betriebssystem versucht und fehlschlägt, eine dieser Aktivitäten auszuführen.

Fazit

In diesen ging es um die Konfiguration der Überwachungsrichtlinie in Windows Server 2016 oder einer anderen Version von Windows-Servern. Wenn Sie Fragen zu diesem Artikel haben, können Sie diese gerne unter diesem Beitrag stellen. Danke, dass du bei uns bist.

Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein