Microsoft Auditing Best Practices

Allgemeines

  • Set the “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to enabled otherwise will the sub category auditing not work
  • Unterkategorien sind nur für Windows Vista/2008 und darüber
  • Es sind alle Kategorien zu aktivieren, bei welchen erfolgreich und fehlerhaft nicht aktiviert ist.

 

Überprüfung der Einstellungen möglich in Eingabeaufforderung

auditpol.exe /get /category:* > C:\Audit.txt

auditpol.exe /list /subcategory:*

auditpol.exe /set /category:*

auditpol.exe /set /subcategory:“Anmeldung“ /success:enable /failure:enable

 

Einstellungen

 

Audit Kategorie Audit Unterkategorie

erfolgreich

fehler

Kontoanmeldungen
  Überprüfung der Anmeldeinformationen

X

X
Kerberos-Authentifizierungsdienst X X
Ticketvorgänge des Kerberos-Dienstes X X
andere Kontoanmeldungsereignisse X X
Kontoverwaltung
  Anwendungsgruppenverwaltung X X
Computerkontenverwaltung X X
Verteilergruppenverwaltung X X
andere Kontoverwaltungsereignisse X X
Sicherheitsgruppenverwaltung X X
Benutzerkontenverwaltung X X
Detaillierte Nachverfolgung
  DPAPI-Aktivität
Prozesserstellung X
Prozessbeendigung X
RPC-Ereignisse
DS-Zugriff
  detaillierte Verzeichnisdienstreplikation
Verzeichnisdienstzugriff
Verzeichnisdienständerungen

X

X
Verzeichnisdienstreplikation
An-/Abmeldung
  Kontosperrung X X
IPsec Erweiterungsmodus
IPsec Hauptmodus
IPsec Schnellmodus
Abmeldung X X
Anmeldung X X
Netzwerkrichtlinienserver
andere An-/Abmelde Ereignisse X X
spezielle Anmeldung X X
Objektzugriff      
  Anwendung wurde generiert X X
Zertifizierungsdienst X X
detaillierte Dateifreigabe
Dateifreigabe X X
Dateisystem
Filterplattformverbindungen
Filterplattform verworfene Pakete
Handle-Änderungen
Kernel-Objekte
andere Objekt-Zugriffs Ereignisse
Regisitrierung
SAM

 

 

Audit-Kategorie Audit Unterkategorie erfolgreich fehler
Richtlinienänderung
  Richtlinienänderung X
Authentifizierungsrichtlinienänderung X
Autorisierungsrichtlinienänderung X
Filterplattform-Richtlinienänderung
MPSSVC Richtlinienänderung auf Regel-Ebene
andere Richtlinienänderungs-Ereignisse
Berechtigungen
  sensible Verwendung von Rechten
andere Rechteverwendungs-Ereignisse
nicht sensible Verwendung von Rechten
System
  Sicherheitsstatusänderung X X
Sicherheitssystemerweiterung X X
Systemintegrität X X
IPsec Treiber
andere System-Ereignisse

Audit settings for Windows 2003

 

Audit Kategorie Domain Controllers Member Servers
  Success Failure Success Failure
System X X
Logon/Logoff X X X X
Object Access Only on file servers
Policy Change X X
Privilege Use
Account Management X X
Directory Service Changes X X
Account Logon X X Only for DC’s
Process Tracking X X

Verify that audit is applied successfully

  1. Open a cmd prompt and type gpupdate to update the group policies
  2. Run auditpol.exe /get /category:* > C:\Audit.txt
  3. Open the text file and verify that the audit settings are correct

 

LogPoint LDAP einrichten

Konfigurations-Beispiel für Version 5.5.2

  1. Settings > System > Plugins > LDAP Authentication 1.0 => manage öffnen
  2. Add anklicken
  3. Name vergeben
  4. Host (IP) eintragen
  5. Port 389
  6. Bind-DN eintragen
    1. Eingabeaufforderung auf Domänen-Controlle „dsquery user“ ausführen
    2. aus allen Einträgen einen User mit Domain-Admin-Rechten suchen – zB Administrator > CN=Administrator, CN=Users, DC=domain, DC=local
    3. CN=Administrator, CN=Users, DC=domain, DC=local eintragen
  7. Password und Confirm Password des oben gewählten Users eintragen
  8. mit Submit bestätigen
  9. LDAP-Eintrag syncronisieren und User-Gruppe auswählen
  10. Konfiguration fertig stellen
  11. Die User der ausgewählten Gruppe sind danach in LogPoint berechtigt
  12. reboot desLogPoint-Servers
  13. beim LogPoint Login auf „Other Authentical Options“ klicken und „LDAP Authentication“ auswählen

LogPoint Agent installieren

  1. LogPoint Agent aus dem Partner-Portal downloaden und entzippen
  2. pak-Datei unter Settings > System > Applications importieren
  3. LogPoint-Agent msi-File auf dem Quell-System installieren
  4. LogPoint einrichten
    1. ggf das LogPoint-Agent (Plugins) Zertifikat Settings > System > Plugins > LogPoint Agent Collector downloaden und in das CERT-Verzeichnis auf der LogPoint-Quelle kopieren
    2. lpagent Dienst neu starten
    3. lpagent Log-File auf Fehler kontrollieren
    4. ggf das LogPoint-Konfig-File Settings > System > Plugins > LogPoint Agent Collector downloaden und in das CONF-Verzeichnis auf der LogPoint-Quelle kopieren
    5. lpagent neu starten
    6. lpagent Log-File auf Fehler kontrollieren
    7. LogPoint-Konfig-File anpassen
      1. Sektion <Extension agent_management-True> zur Gänze auskommentieren („#“)
      2. folgende Sektion neu einfügen
        1. <Extension xml>
        2.     Module xm_xml
        3. </Extension>
      3. in der Sektion <Input wineventlog_in> den Eintrag „Exec to_xml()“ einfügen
    8. lpagent neu starten
    9. lpagent Log-File auf Fehler kontrollieren