Um bei der Behebung von Problemen zu helfen, zeigt die im Windows-Betriebssystem integrierte Ereignisanzeige Ereignisprotokolle von System- und Anwendungsmeldungen an, die Fehler, Warnungen und Informationen zu bestimmten Ereignissen enthalten, die vom Administrator analysiert werden können, um die erforderlichen Maßnahmen zu ergreifen. In diesem Beitrag besprechen wir das Prüfungserfolg oder Prüfungsfehler in der Ereignisanzeige.

Was Ist „Prüfungserfolg“ Oder „Prüfungsfehler“ In Der Ereignisanzeige?

Was ist „Prüfungserfolg“ oder „Prüfungsfehler“ in der Ereignisanzeige?

In der Ereignisanzeige: Prüfungserfolg ist ein Ereignis, das einen überwachten Sicherheitszugriffsversuch aufzeichnet, der erfolgreich war Prüfungsfehler ist ein Ereignis, das einen überwachten Sicherheitszugriffsversuch aufzeichnet, der fehlschlägt. Wir werden dieses Thema unter den folgenden Unterüberschriften diskutieren:

  1. Überwachungsrichtlinien
  2. Aktivieren Sie Überwachungsrichtlinien
  3. Verwenden Sie die Ereignisanzeige, um die Quelle fehlgeschlagener oder erfolgreicher Versuche zu finden
  4. Alternativen zur Verwendung der Ereignisanzeige

Sehen wir uns diese im Detail an.

Audit-Richtlinien

Eine Überwachungsrichtlinie definiert die Ereignistypen, die in den Sicherheitsprotokollen aufgezeichnet werden, und diese Richtlinien generieren Ereignisse, bei denen es sich entweder um Erfolgsereignisse oder Fehlerereignisse handeln kann. Alle Überwachungsrichtlinien werden generiert Erfolg Veranstaltungen; Allerdings werden nur wenige von ihnen generiert Fehlerereignisse. Es können zwei Arten von Überwachungsrichtlinien konfiguriert werden:

  • Grundlegende Audit-Richtlinie verfügt über 9 Audit-Richtlinienkategorien und 50 Audit-Richtlinien-Unterkategorien, die je nach Anforderung aktiviert oder deaktiviert werden können. Nachfolgend finden Sie eine Liste der 9 Audit-Richtlinienkategorien.
    • Überwachen Sie Kontoanmeldeereignisse
    • Anmeldeereignisse überwachen
    • Verwaltung von Prüfkonten
    • Überwachen Sie den Zugriff auf den Verzeichnisdienst
    • Objektzugriff prüfen
    • Änderung der Überwachungsrichtlinie
    • Verwendung von Audit-Berechtigungen
    • Verfolgung des Audit-Prozesses
    • Überwachen Sie Systemereignisse. Diese Richtlinieneinstellung bestimmt, ob überwacht werden soll, wenn ein Benutzer den Computer neu startet oder herunterfährt oder wenn ein Ereignis auftritt, das sich entweder auf die Systemsicherheit oder das Sicherheitsprotokoll auswirkt. Weitere Informationen und die zugehörigen Anmeldeereignisse finden Sie in der Microsoft-Dokumentation unter learn.microsoft.com/basic-audit-system-events.
  • Erweiterte Überwachungsrichtlinie Es verfügt über 53 Kategorien und wird daher empfohlen, da Sie eine detailliertere Überwachungsrichtlinie definieren und nur die relevanten Ereignisse protokollieren können, was besonders hilfreich ist, wenn Sie eine große Anzahl von Protokollen erstellen.
Siehe auch  So erstellen oder fügen Sie eine Checkliste in Excel hinzu

Überwachungsfehler werden in der Regel generiert, wenn eine Anmeldeanforderung fehlschlägt. Sie können jedoch auch durch Änderungen an Konten, Objekten, Richtlinien, Berechtigungen und anderen Systemereignissen verursacht werden. Die beiden häufigsten Ereignisse sind;

  • Ereignis-ID 4771: Kerberos-Vorauthentifizierung fehlgeschlagen. Dieses Ereignis wird nur auf Domänencontrollern generiert und nicht, wenn die Keine Kerberos-Vorauthentifizierung erforderlich Option ist für das Konto eingestellt. Weitere Informationen zu diesem Ereignis und zur Lösung dieses Problems finden Sie im Microsoft-Dokumentation.
  • Ereignis-ID 4625: Die Anmeldung eines Kontos ist fehlgeschlagen. Dieses Ereignis wird generiert, wenn ein Anmeldeversuch am Konto fehlschlägt, vorausgesetzt, der Benutzer war bereits gesperrt. Weitere Informationen zu diesem Ereignis und zur Behebung dieses Problems finden Sie in der Microsoft-Dokumentation.

Lesen: So überprüfen Sie das Herunterfahr- und Startprotokoll in Windows

Aktivieren Sie Überwachungsrichtlinien

Aktivieren Sie Überwachungsrichtlinien

Sie können Überwachungsrichtlinien auf den Client- oder Servercomputern über den lokalen Gruppenrichtlinien-Editor, die Gruppenrichtlinien-Verwaltungskonsole oder den lokalen Sicherheitsrichtlinien-Editor aktivieren. Erstellen Sie auf einem Windows-Server in Ihrer Domäne entweder ein neues Gruppenrichtlinienobjekt oder Sie können ein vorhandenes Gruppenrichtlinienobjekt bearbeiten.

Navigieren Sie auf einem Client- oder Servercomputer im Gruppenrichtlinien-Editor zum folgenden Pfad:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

Navigieren Sie auf einem Client- oder Servercomputer in der lokalen Sicherheitsrichtlinie zum folgenden Pfad:

Security Settings > Local Policies > Audit Policy
  • Doppelklicken Sie unter Überwachungsrichtlinien im rechten Bereich auf die Richtlinie, deren Eigenschaften Sie bearbeiten möchten.
  • Im Eigenschaftenbereich können Sie die Richtlinie für aktivieren Erfolg oder Versagen je nach Ihren Anforderungen.

Lesen: So setzen Sie alle lokalen Gruppenrichtlinieneinstellungen in Windows auf die Standardeinstellungen zurück

Siehe auch  Top 10 YouTube-Tipps und Tricks, die Ihr Erlebnis verbessern werden

Verwenden Sie die Ereignisanzeige, um die Quelle fehlgeschlagener oder erfolgreicher Versuche zu finden

Verwenden Sie Die Ereignisanzeige, Um Die Quelle Fehlgeschlagener Oder Erfolgreicher Ereignisse Zu Finden

Administratoren und normale Benutzer können die Ereignisanzeige mit der entsprechenden Berechtigung auf einem lokalen oder Remote-Computer öffnen. Die Ereignisanzeige zeichnet jetzt jedes Mal ein Ereignis auf, wenn ein fehlgeschlagenes oder erfolgreiches Ereignis auftritt, sei es auf einem Client-Computer oder in der Domäne auf einem Server-Computer. Die Ereignis-ID, die ausgelöst wird, wenn ein fehlgeschlagenes oder erfolgreiches Ereignis registriert wird, ist unterschiedlich (siehe Audit-Richtlinien Abschnitt oben). Sie können zu navigieren Ereignisanzeige > Windows-Protokolle > Sicherheit. Im mittleren Bereich werden alle Ereignisse aufgelistet, die für die Überwachung eingerichtet wurden. Sie müssen die registrierten Ereignisse durchgehen, um nach fehlgeschlagenen oder erfolgreichen Versuchen zu suchen. Sobald Sie sie gefunden haben, können Sie mit der rechten Maustaste auf das Ereignis klicken und auswählen Ereigniseigenschaften für mehr Details.

Lesen: Verwenden Sie die Ereignisanzeige, um die unbefugte Nutzung des Windows-Computers zu überprüfen

Alternativen zur Verwendung der Ereignisanzeige

Als Alternative zur Verwendung von Event Viewer gibt es mehrere Event Log Manager-Software von Drittanbietern, mit der Ereignisdaten aus einer Vielzahl von Quellen, einschließlich Cloud-basierten Diensten, aggregiert und korreliert werden können. Eine SIEM-Lösung ist die bessere Option, wenn Daten von Firewalls, Intrusion Prevention Systems (IPS), Geräten, Anwendungen, Switches, Routern, Servern usw. erfasst und analysiert werden müssen.

Ich hoffe, Sie finden diesen Beitrag informativ genug!

Jetzt lesen: So aktivieren oder deaktivieren Sie die geschützte Ereignisprotokollierung in Windows

Warum ist es wichtig, sowohl erfolgreiche als auch fehlgeschlagene Zugriffsversuche zu überwachen?

Es ist wichtig, Anmeldeereignisse zu überwachen, ob sie erfolgreich waren oder nicht, um Eindringversuche zu erkennen, da die Überwachung der Benutzeranmeldung die einzige Möglichkeit ist, alle nicht autorisierten Versuche, sich bei einer Domäne anzumelden, zu erkennen. Abmeldeereignisse werden auf Domänencontrollern nicht verfolgt. Ebenso wichtig ist es, fehlgeschlagene Zugriffsversuche auf Dateien zu überwachen, da jedes Mal ein Audit-Eintrag generiert wird, wenn ein Benutzer erfolglos versucht, auf ein Dateisystemobjekt zuzugreifen, das über eine entsprechende SACL verfügt. Diese Ereignisse sind für die Nachverfolgung der Aktivität sensibler oder wertvoller Dateiobjekte unerlässlich, die eine zusätzliche Überwachung erfordern.

Siehe auch  Doppelter Benutzername auf dem Anmelde- oder Anmeldebildschirm in Windows 11/10

Lesen: Verschärfen Sie die Windows-Anmeldekennwortrichtlinie und die Kontosperrungsrichtlinie

Wie aktiviere ich Überwachungsfehlerprotokolle in Active Directory?

Um Überwachungsfehlerprotokolle in Active Directory zu aktivieren, klicken Sie einfach mit der rechten Maustaste auf das Active Directory-Objekt, das Sie überwachen möchten, und wählen Sie es dann aus Eigenschaften. Wähle aus Sicherheit Klicken Sie auf die Registerkarte und wählen Sie dann aus Fortschrittlich. Wähle aus Wirtschaftsprüfung Klicken Sie auf die Registerkarte und wählen Sie dann aus Hinzufügen. Um Überwachungsprotokolle in Active Directory anzuzeigen, klicken Sie auf Start > Systemsicherheit > Verwaltungswerkzeuge > Ereignisanzeige. In Active Directory ist Auditing der Prozess der Erfassung und Analyse von AD-Objekten und Gruppenrichtliniendaten, um die Sicherheit proaktiv zu verbessern, Bedrohungen umgehend zu erkennen und darauf zu reagieren und einen reibungslosen IT-Betrieb sicherzustellen.

Lesen: Ereignis-ID 1101, Überwachungsereignisse wurden vom Transport gelöscht. 0.

What Is Audit Success Or Audit Failure In Event Viewer

Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein