Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumLeitfaden
Best Practices für die Windows-Auditrichtlinie

Best Practices für die Windows-Auditrichtlinie

Wie man eine Audit-Richtlinie implementiert

Es gibt zwei Methoden, um Ihre Überwachungsrichtlinie einzurichten:

  • Grundlegende Sicherheitsüberprüfungsrichtlinie in Windows (auch als lokale Windows-Sicherheitseinstellungen bezeichnet) ermöglicht es Ihnen, die Überwachung pro Ereignistyp festzulegen. Grundlegende Richtlinien finden Sie unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinie.
  • Erweiterte Sicherheitsüberwachungsrichtlinien behandeln dieselben Probleme wie grundlegende Überwachungsrichtlinien, ermöglichen es Ihnen jedoch, die Überwachung innerhalb jeder Ereigniskategorie detailliert einzustellen. Diese Einstellungen finden Sie unter Computerkonfiguration -> Richtlinien -> Windows-Sicherheitseinstellungen -> Konfiguration der erweiterten Überwachungsrichtlinien -> Systemüberwachungsrichtlinien. Sie scheinen sich mit den grundlegenden Sicherheitsüberwachungsrichtlinien zu überschneiden (nicht zu ersetzen).

Microsoft rät Organisationen davon ab, sowohl die grundlegenden Überwachungsrichtlinieneinstellungen als auch die erweiterten Einstellungen gleichzeitig für dieselbe Kategorie zu verwenden, da die erweiterte Überwachungsrichtlinie immer die grundlegenden Überwachungsrichtlinien überschreibt, was zu „unerwarteten Ergebnissen in der Überwachungsberichterstattung“ führen kann.

Sie können das Sicherheitsprotokoll mit dem Ereignisanzeige einsehen.

Bevor Sie irgendwelche Einstellungen ändern, sollten Sie:

  • Bestimmen Sie, welche Arten von Ereignissen Sie aus der untenstehenden Liste überwachen möchten, und legen Sie die Einstellungen für jedes einzelne fest. Die von Ihnen festgelegten Einstellungen bilden Ihre Überwachungsrichtlinie. Beachten Sie, dass einige Ereignistypen standardmäßig überwacht werden.
  • Entscheiden Sie, wie Sie Daten sammeln, speichern und analysieren werden. Es hat wenig Wert, große Mengen an Überwachungsdaten anzuhäufen, wenn es keinen zugrundeliegenden Plan gibt, diese zu verwalten und zu nutzen.
  • Geben Sie die maximale Größe und andere Attribute des Sicherheitsprotokolls mithilfe der Richtlinieneinstellungen für die Ereignisprotokollierung an. Ein wichtiger Aspekt ist der Speicherplatz, den Sie für die Speicherung der durch die Überwachung gesammelten Daten bereitstellen können. Je nach gewählter Einstellung kann die Überwachungsdaten schnell den verfügbaren Festplattenspeicher füllen.
  • Denken Sie daran, dass Überwachungseinstellungen die Computerleistung beeinflussen können. Daher sollten Sie Leistungstests durchführen, bevor Sie neue Überwachungseinstellungen in Ihrer Produktionsumgebung einführen.
  • Wenn Sie den Zugriff auf den Verzeichnisdienst oder Objektzugriff überwachen möchten, konfigurieren Sie die Einstellungen für die Richtlinien Audit directory service access und Audit object access.

Arten von Ereignissen, die Sie überwachen können

Hier sind die grundlegenden Kategorien der Sicherheitsüberprüfungsrichtlinien:

  • Auditieren Sie Kontoanmeldeereignisse. Die Überwachung von Benutzeranmeldungen ist der einzige Weg, um alle unbefugten Versuche, sich bei einer Domäne anzumelden, zu erkennen. Es ist entscheidend, Anmeldeereignisse – sowohl erfolgreiche als auch fehlgeschlagene – zu überwachen, um Eindringversuche zu entdecken. Abmeldeereignisse werden auf Domänencontrollern nicht verfolgt.
  • Audit der Kontenverwaltung. Eine sorgfältige Überwachung aller Benutzerkontenänderungen hilft, das Risiko von Geschäftsunterbrechungen und Systemausfällen zu minimieren.
  • Überwachen Sie den Zugriff auf den Verzeichnisdienst. Überwachen Sie dies nur, wenn Sie sehen müssen, wenn jemand auf ein AD-Objekt zugreift, das über seine eigene Systemzugriffskontrollliste verfügt (zum Beispiel eine OU).
  • Audit-Anmeldeereignisse. Die Überwachung erfolgreicher und fehlgeschlagener Versuche, sich an einem lokalen Computer an- oder abzumelden, ist nützlich für die Eindringlingserkennung und forensische Untersuchungen nach einem Vorfall.
  • Zugriff auf Objekte überwachen. Überwachen Sie dies nur, wenn Sie nachvollziehen müssen, wann jemand Berechtigungen verwendet hat, um auf Dateiservern Dateien zu öffnen, zu kopieren, zu verteilen, zu ändern oder zu löschen.
  • Überwachung der Richtlinienänderung. Unsachgemäße Änderungen an einer GPO können die Sicherheit Ihrer Umgebung erheblich beeinträchtigen. Überwachen Sie alle GPO-Modifikationen, um das Risiko einer Datenfreigabe zu verringern.
  • Privilegiennutzung überwachen.Aktivieren Sie diese Richtlinie, wenn Sie jede Instanz der Benutzerprivilegienverwendung verfolgen möchten. Es wird empfohlen, diese Funktion im Bereich Sensitive Privilege Use der erweiterten Überwachungsrichtlinien detailliert einzurichten.
  • Überwachung der Prozessverfolgung. Die Überwachung von prozessbezogenen Ereignissen, wie Prozesserstellung, Prozessbeendigung, Handle-Duplikation und indirekter Objektzugriff, kann für die Untersuchung von Vorfällen nützlich sein.
  • Systemereignisse überwachen. Die Konfiguration der Systemüberwachungsrichtlinie, um Startvorgänge, Herunterfahren und Neustarts des Computers sowie Versuche eines Prozesses oder Programms, etwas zu tun, für das es keine Berechtigung hat, zu protokollieren, ist wertvoll, da alle diese Ereignisse sehr bedeutend sind. Zum Beispiel, wenn Schadsoftware versucht, eine Einstellung auf Ihrem Computer ohne Ihre Erlaubnis zu ändern, würde die Überwachung von Systemereignissen diese Aktion aufzeichnen.

Empfohlene Überwachungseinstellungen für Windows

Folgende erweiterte Sicherheitsrichtlinieneinstellungen für die Überwachung werden empfohlen:

Kontenanmeldung

  • Audit Credential Validation: Erfolg und Misserfolg

Kontenverwaltung

  • Audit Computer Account Management: Erfolg und Fehler
  • Auditieren Sie andere Account Management Events: Erfolg und Misserfolg
  • Audit Security Group Management: Erfolg und Misserfolg
  • Audit User Account Management: Erfolg und Misserfolg

DS Access (Directory Service Access)

  • Audit DirectoryService Access: Erfolg und Misserfolg auf DC
  • Audit Directory Service Changes: Erfolg und Fehler auf DC

Anmeldung/Abmeldung

  • Audit Account Lockout: Erfolg
  • Audit-Abmeldung: Erfolg
  • Audit-Anmeldung: Erfolg und Fehler
  • Audit Special Logon: Erfolg und Fehler

Objektzugriff

  • Aktivieren Sie diese Einstellungen nur, wenn Sie eine spezifische Verwendung für die Daten haben, die protokolliert werden, da sie eine große Menge an Einträgen in Ihren Sicherheitsprotokollen verursachen können.

Richtlinienänderung

  • Audit Auditrichtlinienänderung: Erfolg und Fehler
  • Audit Authentication Policy Change: Erfolg und Fehler

Privilege Use

  • Aktivieren Sie diese Einstellungen nur, wenn Sie eine spezifische Verwendung für die protokollierten Daten haben, da sie eine große Menge an Einträgen in Ihren Sicherheitsprotokollen verursachen können.

Prozessverfolgung

  • Audit Process Creation: Erfolg
    Aktivieren Sie diese Einstellungen nur, wenn Sie eine spezifische Verwendung für die protokollierten Informationen haben, da sie eine große Menge an Einträgen in Ihren Sicherheitsprotokollen verursachen können.

System

  • Audit Security State Change: Erfolg und Fehler
  • Auditierung anderer Systemereignisse: Erfolg und Fehler
  • Systemintegrität überwachen: Erfolg und Misserfolg

Was ist eine Überwachungsrichtlinie in Windows?


Die Windows-Überwachungsrichtlinie definiert, welche Arten von Ereignissen in die Sicherheitsprotokolle Ihrer Windows-Server geschrieben werden. Das Festlegen einer effektiven Überwachungsrichtlinie hilft Ihnen, potenzielle Sicherheitsprobleme zu erkennen, Benutzerverantwortlichkeit zu gewährleisten und Beweise im Falle eines Sicherheitsvorfalls zu liefern.

Die hier bereitgestellten empfohlenen Überwachungsrichtlinieneinstellungen dienen als Grundlage für Systemadministratoren, die beginnen, AD-Überwachungsrichtlinien zu definieren. Sie sollten sicherstellen, die Cybersicherheitsrisiken und Compliance-Anforderungen Ihrer Organisation zu berücksichtigen. Zusätzlich sollten Sie Ihre Richtlinien testen und verfeinern, bevor Sie diese in Ihrer Produktionsumgebung implementieren.

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management