Allgemeines
- Set the “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to enabled otherwise will the sub category auditing not work
- Unterkategorien sind nur für Windows Vista/2008 und darüber
- Es sind alle Kategorien zu aktivieren, bei welchen erfolgreich und fehlerhaft nicht aktiviert ist.
Überprüfung der Einstellungen möglich in Eingabeaufforderung
auditpol.exe /get /category:* > C:\Audit.txt
auditpol.exe /list /subcategory:*
auditpol.exe /set /category:*
auditpol.exe /set /subcategory:“Anmeldung“ /success:enable /failure:enable
Einstellungen
| Audit Kategorie | Audit Unterkategorie |
erfolgreich |
fehler |
| Kontoanmeldungen | |||
| Überprüfung der Anmeldeinformationen |
X |
X | |
| Kerberos-Authentifizierungsdienst | X | X | |
| Ticketvorgänge des Kerberos-Dienstes | X | X | |
| andere Kontoanmeldungsereignisse | X | X | |
| Kontoverwaltung | |||
| Anwendungsgruppenverwaltung | X | X | |
| Computerkontenverwaltung | X | X | |
| Verteilergruppenverwaltung | X | X | |
| andere Kontoverwaltungsereignisse | X | X | |
| Sicherheitsgruppenverwaltung | X | X | |
| Benutzerkontenverwaltung | X | X | |
| Detaillierte Nachverfolgung |
|||
| DPAPI-Aktivität | |||
| Prozesserstellung | X | ||
| Prozessbeendigung | X | ||
| RPC-Ereignisse | |||
| DS-Zugriff | |||
| detaillierte Verzeichnisdienstreplikation | |||
| Verzeichnisdienstzugriff | |||
| Verzeichnisdienständerungen |
X |
X | |
| Verzeichnisdienstreplikation | |||
| An-/Abmeldung | |||
| Kontosperrung | X | X | |
| IPsec Erweiterungsmodus | |||
| IPsec Hauptmodus | |||
| IPsec Schnellmodus | |||
| Abmeldung | X | X | |
| Anmeldung | X | X | |
| Netzwerkrichtlinienserver | |||
| andere An-/Abmelde Ereignisse | X | X | |
| spezielle Anmeldung | X | X | |
| Objektzugriff | |||
| Anwendung wurde generiert | X | X | |
| Zertifizierungsdienst | X | X | |
| detaillierte Dateifreigabe | |||
| Dateifreigabe | X | X | |
| Dateisystem | |||
| Filterplattformverbindungen | |||
| Filterplattform verworfene Pakete | |||
| Handle-Änderungen | |||
| Kernel-Objekte | |||
| andere Objekt-Zugriffs Ereignisse | |||
| Regisitrierung | |||
| SAM |
| Audit-Kategorie | Audit Unterkategorie | erfolgreich | fehler |
| Richtlinienänderung | |||
| Richtlinienänderung | X | ||
| Authentifizierungsrichtlinienänderung | X | ||
| Autorisierungsrichtlinienänderung | X | ||
| Filterplattform-Richtlinienänderung | |||
| MPSSVC Richtlinienänderung auf Regel-Ebene | |||
| andere Richtlinienänderungs-Ereignisse | |||
| Berechtigungen | |||
| sensible Verwendung von Rechten | |||
| andere Rechteverwendungs-Ereignisse | |||
| nicht sensible Verwendung von Rechten | |||
| System | |||
| Sicherheitsstatusänderung | X | X | |
| Sicherheitssystemerweiterung | X | X | |
| Systemintegrität | X | X | |
| IPsec Treiber | |||
| andere System-Ereignisse |
Audit settings for Windows 2003
| Audit Kategorie | Domain Controllers | Member Servers | ||
| Success | Failure | Success | Failure | |
| System | X | X | ||
| Logon/Logoff | X | X | X | X |
| Object Access | Only on file servers | |||
| Policy Change | X | X | ||
| Privilege Use | ||||
| Account Management | X | X | ||
| Directory Service Changes | X | X | ||
| Account Logon | X | X | Only for DC’s | |
| Process Tracking | X | X | ||
Verify that audit is applied successfully
- Open a cmd prompt and type gpupdate to update the group policies
- Run auditpol.exe /get /category:* > C:\Audit.txt
- Open the text file and verify that the audit settings are correct
