LogPoint Microsoft Auditing Best Practices

Allgemeines

  • Set the “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to enabled otherwise will the sub category auditing not work
  • Unterkategorien sind nur für Windows Vista/2008 und darüber
  • Es sind alle Kategorien zu aktivieren, bei welchen erfolgreich und fehlerhaft nicht aktiviert ist.

 

Überprüfung der Einstellungen möglich in Eingabeaufforderung

auditpol.exe /get /category:* > C:\Audit.txt

auditpol.exe /list /subcategory:*

auditpol.exe /set /category:*

auditpol.exe /set /subcategory:“Anmeldung“ /success:enable /failure:enable

 

Einstellungen

 

Audit Kategorie Audit Unterkategorie

erfolgreich

fehler

Kontoanmeldungen
  Überprüfung der Anmeldeinformationen

X

X
Kerberos-Authentifizierungsdienst X X
Ticketvorgänge des Kerberos-Dienstes X X
andere Kontoanmeldungsereignisse X X
Kontoverwaltung
  Anwendungsgruppenverwaltung X X
Computerkontenverwaltung X X
Verteilergruppenverwaltung X X
andere Kontoverwaltungsereignisse X X
Sicherheitsgruppenverwaltung X X
Benutzerkontenverwaltung X X
Detaillierte Nachverfolgung
  DPAPI-Aktivität
Prozesserstellung X
Prozessbeendigung X
RPC-Ereignisse
DS-Zugriff
  detaillierte Verzeichnisdienstreplikation
Verzeichnisdienstzugriff
Verzeichnisdienständerungen

X

X
Verzeichnisdienstreplikation
An-/Abmeldung
  Kontosperrung X X
IPsec Erweiterungsmodus
IPsec Hauptmodus
IPsec Schnellmodus
Abmeldung X X
Anmeldung X X
Netzwerkrichtlinienserver
andere An-/Abmelde Ereignisse X X
spezielle Anmeldung X X
Objektzugriff      
  Anwendung wurde generiert X X
Zertifizierungsdienst X X
detaillierte Dateifreigabe
Dateifreigabe X X
Dateisystem
Filterplattformverbindungen
Filterplattform verworfene Pakete
Handle-Änderungen
Kernel-Objekte
andere Objekt-Zugriffs Ereignisse
Regisitrierung
SAM

 

 

Audit-Kategorie Audit Unterkategorie erfolgreich fehler
Richtlinienänderung
  Richtlinienänderung X
Authentifizierungsrichtlinienänderung X
Autorisierungsrichtlinienänderung X
Filterplattform-Richtlinienänderung
MPSSVC Richtlinienänderung auf Regel-Ebene
andere Richtlinienänderungs-Ereignisse
Berechtigungen
  sensible Verwendung von Rechten
andere Rechteverwendungs-Ereignisse
nicht sensible Verwendung von Rechten
System
  Sicherheitsstatusänderung X X
Sicherheitssystemerweiterung X X
Systemintegrität X X
IPsec Treiber
andere System-Ereignisse

Audit settings for Windows 2003

 

Audit Kategorie Domain Controllers Member Servers
  Success Failure Success Failure
System X X
Logon/Logoff X X X X
Object Access Only on file servers
Policy Change X X
Privilege Use
Account Management X X
Directory Service Changes X X
Account Logon X X Only for DC’s
Process Tracking X X

Verify that audit is applied successfully

  1. Open a cmd prompt and type gpupdate to update the group policies
  2. Run auditpol.exe /get /category:* > C:\Audit.txt
  3. Open the text file and verify that the audit settings are correct

 

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*