Allgemeines
- Set the “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to enabled otherwise will the sub category auditing not work
- Unterkategorien sind nur für Windows Vista/2008 und darüber
- Es sind alle Kategorien zu aktivieren, bei welchen erfolgreich und fehlerhaft nicht aktiviert ist.
Überprüfung der Einstellungen möglich in Eingabeaufforderung
auditpol.exe /get /category:* > C:\Audit.txt
auditpol.exe /list /subcategory:*
auditpol.exe /set /category:*
auditpol.exe /set /subcategory:”Anmeldung” /success:enable /failure:enable
Einstellungen
Audit Kategorie | Audit Unterkategorie |
erfolgreich |
fehler |
Kontoanmeldungen | |||
Überprüfung der Anmeldeinformationen |
X |
X | |
Kerberos-Authentifizierungsdienst | X | X | |
Ticketvorgänge des Kerberos-Dienstes | X | X | |
andere Kontoanmeldungsereignisse | X | X | |
Kontoverwaltung | |||
Anwendungsgruppenverwaltung | X | X | |
Computerkontenverwaltung | X | X | |
Verteilergruppenverwaltung | X | X | |
andere Kontoverwaltungsereignisse | X | X | |
Sicherheitsgruppenverwaltung | X | X | |
Benutzerkontenverwaltung | X | X | |
Detaillierte Nachverfolgung |
|||
DPAPI-Aktivität | |||
Prozesserstellung | X | ||
Prozessbeendigung | X | ||
RPC-Ereignisse | |||
DS-Zugriff | |||
detaillierte Verzeichnisdienstreplikation | |||
Verzeichnisdienstzugriff | |||
Verzeichnisdienständerungen |
X |
X | |
Verzeichnisdienstreplikation | |||
An-/Abmeldung | |||
Kontosperrung | X | X | |
IPsec Erweiterungsmodus | |||
IPsec Hauptmodus | |||
IPsec Schnellmodus | |||
Abmeldung | X | X | |
Anmeldung | X | X | |
Netzwerkrichtlinienserver | |||
andere An-/Abmelde Ereignisse | X | X | |
spezielle Anmeldung | X | X | |
Objektzugriff | |||
Anwendung wurde generiert | X | X | |
Zertifizierungsdienst | X | X | |
detaillierte Dateifreigabe | |||
Dateifreigabe | X | X | |
Dateisystem | |||
Filterplattformverbindungen | |||
Filterplattform verworfene Pakete | |||
Handle-Änderungen | |||
Kernel-Objekte | |||
andere Objekt-Zugriffs Ereignisse | |||
Regisitrierung | |||
SAM |
Audit-Kategorie | Audit Unterkategorie | erfolgreich | fehler |
Richtlinienänderung | |||
Richtlinienänderung | X | ||
Authentifizierungsrichtlinienänderung | X | ||
Autorisierungsrichtlinienänderung | X | ||
Filterplattform-Richtlinienänderung | |||
MPSSVC Richtlinienänderung auf Regel-Ebene | |||
andere Richtlinienänderungs-Ereignisse | |||
Berechtigungen | |||
sensible Verwendung von Rechten | |||
andere Rechteverwendungs-Ereignisse | |||
nicht sensible Verwendung von Rechten | |||
System | |||
Sicherheitsstatusänderung | X | X | |
Sicherheitssystemerweiterung | X | X | |
Systemintegrität | X | X | |
IPsec Treiber | |||
andere System-Ereignisse |
Audit settings for Windows 2003
Audit Kategorie | Domain Controllers | Member Servers | ||
Success | Failure | Success | Failure | |
System | X | X | ||
Logon/Logoff | X | X | X | X |
Object Access | Only on file servers | |||
Policy Change | X | X | ||
Privilege Use | ||||
Account Management | X | X | ||
Directory Service Changes | X | X | ||
Account Logon | X | X | Only for DC’s | |
Process Tracking | X | X |
Verify that audit is applied successfully
- Open a cmd prompt and type gpupdate to update the group policies
- Run auditpol.exe /get /category:* > C:\Audit.txt
- Open the text file and verify that the audit settings are correct