Alle Sicherheits- und Compliance-Funktionen funktionieren durch das Abfangen von Audit-Fehlschlägen und Audit-Erfolgsereignissen aus den Sicherheitsereignissen. Als solche müssen die jeweiligen Audit-Funktionen in der Sicherheitsrichtlinie der überwachten Computer aktiviert werden. Um zum Beispiel die Erstellung neuer Benutzerkonten zu entdecken, muss die Kontoverwaltungsrichtlinie aktiviert werden.
Alle Funktionen können so konfiguriert werden, dass die Richtlinie automatisch für Sie aktiviert wird, wenn sie nicht bereits aktiv ist. Wir empfehlen jedoch trotzdem, die Überprüfung auf Domänenebene mit Hilfe von Gruppenrichtlinien zu aktivieren, wenn dies möglich ist.
Bitte entnehmen Sie der folgenden Liste, welche Überwachungsrichtlinien für die jeweiligen Funktion erforderlich sind:
Erforderliche Audit-Konfiguration für Sicherheit & Compliance |
||
|
|
|
Security & Compliance Feature |
Windows Auditing Category Windows 2003 und früher |
Windows Auditing Category Windows Vista und höher |
Process Tracking |
Audit process tracking (Success) Prozessnachverfolgung (Erfolg) |
Detailed Tracking: - Audit Process Creation - Audit Process Termination
Detaillierte Überwachung: - Prozesserstellung überwachen - Prozessbeendung überwachen |
Logon Tracking (Console Sessions) |
Audit logon events
Anmeldeereignisse überwachen |
Logon and Logoff: - Logon - Logoff
Anmelden / Abmelden - Anmelden überwachen - Abmelden überwachen |
Logon Tracking (Network Logons) |
|
Account Logon: - Credential Validation - Kerberos Authentication Service - Kerberos Service Ticket Operations - Other Account Logon Events
Kontoanmeldung: - Überprüfung der Anmeldeinformationen - Kerberos-Authentifizierungsdienst - Ticketvorgänge des Kerberos-Diensts - Andere Kontoanmeldungen |
File Access Tracking |
Audit object access
Objektzugriffsversuche überwachen |
Object Access: - File System
Objektzugriff: - Dateisystem |
Account Management Tracking |
Audit account management
Kontenverwaltung überwachen |
Account Management: all subcategories
Kontoverwaltung: alle Subkategorien |
Policy Change Tracking |
Audit policy change
Richtlinienänderungen überwachen |
Policy Change: - Audit Policy Change - Authentication Policy Change - Authorization Policy Change
Richtlinienänderungen: - Überwachungsrichtlinienänderungen - Authentifizierungsrichtlinienänderungen - Autorisierungsrichtlinienänderungen |
Print Tracking |
Log spooler information events
|
Ereignisprotokoll "Microsoft-Windows-PrintService/Operational" aktivieren |
Registry Change Tracking |
n/a |
Object Access: - Registry
Objektzugriff: - Registrierung |
Permission Inventory |
n/a |
n/a |
Sobald die erforderlichen Auditing-Optionen festgelegt sind, kann eine der folgenden drei Optionen verwendet werden, um das Auditing zu ermöglichen. Die erforderliche Auditing-Einstellung aus der Spalte Erforderliches Auditing wird als [Auditingoption] bezeichnet.
| 1. | Sie können den EventSentry-Agenten veranlassen, die erforderliche Revisionseinstellung automatisch zu aktivieren, wenn der Dienst startet, indem Sie "Auditing ein" aus der angeforderten Revisionsrichtlinie wählen. Stellen Sie in diesem Fall sicher, dass keine Gruppenrichtlinien die vom EventSentry-Agenten festgelegten Richtlinieneinstellungen überschreiben. |
 |
Verwendung des EventSentry-Agenten zur automatischen Aktivierung der "Prozessverfolgung".
| 2. | Es gibt mehrere Möglichkeiten, die "Audit-Prozessverfolgung" außerhalb von EventSentry zu aktivieren: |
Windows 2003 ohne Active Directory
Öffnen Sie "Lokale Sicherheitsrichtlinien" und navigieren Sie zu "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Überwachungsrichtlinie". Doppelklicken Sie auf [Überprüfungsoption] und markieren Sie das Kontrollkästchen "Erfolg". Diese Änderung kann einige Minuten dauern, bis sie wirksam wird.
Windows 2003 mit Active Directory
Öffnen Sie die entsprechende Gruppenrichtlinie oder öffnen Sie die "Domain-Sicherheitsrichtlinie". Navigieren Sie dort zu "Überwachungsrichtlinie" und setzen Sie [Audit-Option] auf "Erfolg". Abhängig von Ihrer Active Directory-Einrichtung müssen Sie möglicherweise eine andere Gruppenrichtlinie als die "Domänen-Sicherheitsrichtlinie" bearbeiten.
Windows 2008 (and höher) mit "Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen" aktiviert
Öffnen Sie die entsprechende Gruppenrichtlinie oder öffnen Sie die "Domain-Sicherheitsrichtlinie". Navigieren Sie dort zu "Erweiterte Überwachungsrichtlinienkonfiguration" und erweitern Sie die entsprechende Kategorie (siehe Tabelle "Erforderliche Audit-Konfiguration für Sicherheit & Compliance" oben). Konfigurieren Sie dort die erforderlichen Einstellungen auf "Audit-Erfolg".
| 3. | Das Sicherheitsereignisprotokoll "Protokollgröße" muss so konfiguriert werden, dass es "Ereignisse nach Bedarf überschreibt". Es wird außerdem empfohlen, eine Größe von mindestens 2048kb anzugeben. Der EventSentry-Agent schreibt beim Start eine Fehlermeldung in das Anwendungsereignisprotokoll, wenn das Ereignisprotokoll nicht korrekt konfiguriert ist. |
Sie können die Einstellungen für die "Protokollgröße" ändern, indem Sie die "Ereignisanzeige" öffnen (aus den Verwaltungstools) und mit der rechten Maustaste auf "Sicherheitsprotokoll" klicken. Wählen Sie "Eigenschaften" aus dem Menü und überprüfen Sie, ob die "Protokollgröße" korrekt auf "Ereignisse nach Bedarf überschreiben" eingestellt ist. Vergewissern Sie sich auch, dass die "Maximale Protokollgröße" ausreichend groß ist.
|
Um die zuvor aktivierte Prozessverfolgung des Betriebssystems zu deaktivieren, setzen Sie die angeforderte Audit-Politik auf Auditing aus. Stellen Sie sicher, dass keine Domänenrichtlinien die vom EventSentry-Agenten durchgeführten Richtlinienänderungen rückgängig machen. |
