Durch das Überwachen des Zugriffs auf Ressourcen und etwaiger Änderungen an Autorisierungsrichtlinien können Sie potenzielle Sicherheitsprobleme verfolgen, den Zugriff der Benutzer steuern und einen Nachweis im Fall einer Sicherheitsverletzung führen.

Überwachungstypen

Der Autorisierungs-Manager ermöglicht zwei Arten der Überwachung: Laufzeitüberwachung und Autorisierungsspeicher-Änderungsüberwachung.

Laufzeitüberwachung

Bei der Laufzeitüberwachung gibt es zwei Aspekte:

  • Laufzeitanwendungsinitialisierungs-Überwachung, wodurch beim Öffnen einer Anwendung Überwachungen generiert werden.

  • Überwachung des Laufzeitclientkontexts und der Zugriffsüberprüfung, wodurch beim Erstellen eines Clientkontexts Überwachungen generiert werden, sowie bei jedem Aufruf einer Zugriffsüberprüfung durch den Client. Zugriffsüberprüfungen basieren auf der AccessCheck-Methode, die im Platform SDK im Abschnitt über die Autorisierung beschrieben wird. Weitere Informationen (möglicherweise in englischer Sprache) zu Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) im Zusammenhang mit der Autorisierung finden Sie unter Autorisierung (https://go.microsoft.com/fwlink/?linkid=64031).

Sie können die Laufzeitüberwachung zum Protokollieren von Erfolgen bzw. Fehlern konfigurieren.

Autorisierungsspeicher-Änderungsüberwachung

Beim Aktivieren der Autorisierungsspeicher-Änderungsüberwachung werden bei jeder Änderung des Autorisierungsspeichers Überwachungen generiert. Bei der Überwachung werden alle Ereignisse (Erfolge und Fehler) protokolliert.

Für die Änderungsüberwachung des Autorisierungsspeichers unterstützt der Autorisierungs-Manager das NTFS-Dateisystem (für XML-basierte Autorisierungsspeicher), die Active Directory-Domänendienste (Active Directory Domain Services, AD DS), die Active Directory Lightweight Directory Services (AD LDS) und Microsoft SQL Server.

Einsehen von Überwachungsereignissen

Wenn Sie die vom Autorisierungs-Manager generierten Überwachungsereignisse einsehen möchten, zeigen Sie die Ereignisprotokolle auf dem entsprechenden Computer an.

  • Laufzeitüberwachungsereignisse werden im Sicherheitsprotokoll des Clientcomputers protokolliert, auf dem die Anwendung ausgeführt wird.

  • Überwachungsereignisse von Autorisierungsspeicheränderungen werden im Sicherheitsprotokoll des Computers protokolliert, auf dem sich der Speicher befindet.

    • Bei einem XML-basierten Autorisierungsspeicher befinden sich die Überwachungseinträge in der Ereignisanzeige des Computers, auf dem die XML-Datei gespeichert ist.

    • Bei einem Autorisierungsspeicher, der AD DS oder AD LDS verwendet, befinden sich die Überwachungseinträge in der Ereignisanzeige des Domänencontrollers oder AD LDS-Servers, auf den zugegriffen wird.

    • Bei einem SQL-basierten Autorisierungsspeicher befinden sich die Überprüfungseinträge in der Ereignisanzeige des Computers, auf dem SQL Server gehostet wird.

Verfügbarkeit der Überwachung

Die Verfügbarkeit der Überwachung ist von folgenden Faktoren abhängig:

  • Sie richtet sich danach, ob der Autorisierungsspeicher auf AD DS, AD LDS, XML oder SQL basiert.

  • Sie richtet sich danach, ob die Überwachung auf der Autorisierungsspeicherebene, der Anwendungsebene oder der Bereichsebene eingerichtet ist.

In der folgenden Tabelle wird die Verfügbarkeit der zwei Überwachungstypen beschrieben.

Ebene Verfügbarkeit der Laufzeitüberwachung Verfügbarkeit der Laufzeitüberwachung auf dieser Ebene Verfügbarkeit der Autorisierungsspeicher-Änderungsüberwachung

Autorisierungsspeicher
  • XML

  • AD DS und AD LDS

  • SQL Server
  • XML

  • AD DS und AD LDS

  • SQL Server
  • XML

  • AD DS und AD LDS

  • SQL Server

Anwendung
  • XML

  • AD DS und AD LDS

  • SQL Server
  • XML

  • AD DS und AD LDS

  • SQL Server
  • AD DS und AD LDS

  • SQL Server

Bereich
  • XML

  • AD DS und AD LDS

  • SQL Server

Nicht verfügbar (konfiguriert auf der Anwendungsebene)
  • AD DS und AD LDS

  • SQL Server

Sie müssen auf der Registerkarte Überwachung das entsprechende Kontrollkästchen aktivieren, um die Überwachung verwenden zu können. Aktivieren Sie das Kontrollkästchen Laufzeitanwendungsinitialisierungs-Überwachung, um die Laufzeitüberwachung zu aktivieren. Aktivieren Sie das Kontrollkästchen Überwachung des Laufzeitclientkontexts und der Zugriffsüberprüfung, um die Autorisierungsspeicher-Änderungsüberwachung zu aktivieren.

Konfigurieren des Systems für die Überwachung

Vor dem Implementieren der Überwachung müssen Sie sich für eine Überwachungsrichtlinie entscheiden. In Überwachungsrichtlinien werden die Kategorien sicherheitsbezogener Ereignisse angegeben, die Sie überwachen möchten. Nach der Installation von Windows sind alle Überwachungskategorien standardmäßig deaktiviert.

Um festzulegen, welche Anwendungen und Bereiche überwacht werden sollen, müssen Sie über das Recht Verwalten von Überwachungs- und Sicherheitsprotokollen auf dem Computer mit dem Autorisierungsspeicher verfügen. Dies ist gewöhnlich der Fall, wenn Sie sich als Mitglied der integrierten Administratorengruppe anmelden oder bei Aufforderung ein Administratorkennwort angeben.

Wenn der Autorisierungsspeicher auf XML basiert, müssen Sie die Objektzugriffsüberwachung festlegen. Wenn der Autorisierungsspeicher auf AD DS oder AD LDS basiert, müssen Sie die Verzeichnisdienst-Zugriffsüberwachung angeben.

Zum Ausführen der Überwachung des Laufzeitclientkontexts und der Zugriffsüberprüfung müssen die Benutzer von Anwendungen, von denen der Autorisierungs-Manager verwendet wird, über das Recht Generieren von Sicherheitsüberwachungen verfügen. Wenn die Benutzer dieses Recht nicht haben, werden keine Überwachungsereignisse aufgezeichnet.

Aktivieren der Objektzugriffsüberwachung

Die Objektzugriffsüberwachung ist standardmäßig deaktiviert. Um sie zu aktivieren, müssen Sie die Gruppenrichtlinien auf Domänen-, Domänencontroller- oder einer anderen möglichen Ebene einer Organisationseinheit in AD DS oder AD LDS verwenden. Sie können auch die lokale Sicherheitsrichtlinie verwenden.

Wenn sich der XML-basierte Autorisierungsspeicher auf einem Domänencontroller befindet, sollte das Gruppenrichtlinienobjekt Standard-Domänencontrollerrichtlinie zum Aktivieren der Objektzugriffsüberwachung verwendet werden. Wenn der XML-basierte Autorisierungsspeicher sich auf einer Arbeitsstation oder einem Mitgliedserver befindet, können Sie das lokale Gruppenrichtlinienobjekt für diesen Computer bearbeiten und so die lokale Sicherheitsrichtlinie festlegen, diese Einstellungen sind jedoch nur bis zur nächsten Aktualisierung der Gruppenrichtliniensicherheitseinstellungen wirksam. Dies kann nützlich sein, wenn nur ein Mal Überwachungen generiert werden. Wenn Sie jedoch beabsichtigen, regulär Sicherheitsüberwachungen zu generieren, sollten Sie ein anderes Gruppenrichtlinienobjekt bearbeiten, dass sich auf den Computer über AD DS (Active Directory Domain Services) bezieht.

Konfigurieren Sie die folgenden Objekte zum Aktivieren von Objektzugriff-Überwachung:

  • Für einen lokalen Computer

    1. Öffnen Sie den lokalen Gruppenrichtlinien-Editor.

    2. Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und Überwachungsrichtlinie.

    3. klicken Sie auf Objektzugriffsversuche überwachen.

    4. Aktivieren Sie im Detailbereich das Kontrollkästchen Diese Richtlinieneinstellungen definieren, aktivieren Sie das Kontrollkästchen Erfolgreich, und aktivieren Sie dann das Kontrollkästchen Fehlerhaft.

  • Nur für Domänencontroller

    1. Klicken Sie auf Start, klicken Sie auf Alle Programme und dann auf Verwaltung, und doppelklicken Sie anschließend auf Sicherheitsrichtlinie für Domänencontroller.

    2. Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und Überwachungsrichtlinie.

    3. Klicken Sie auf Objektzugriffsversuche überwachen.

    4. Aktivieren Sie im Detailbereich das Kontrollkästchen Diese Richtlinieneinstellungen definieren, aktivieren Sie das Kontrollkästchen Erfolgreich, und aktivieren Sie dann das Kontrollkästchen Fehler.

  • Für eine Domänen- oder Organisationseinheit

    1. Öffnen der Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console).

    2. Klicken Sie mit der rechten Maustaste auf das zu überwachende Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

    3. Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, Richtlinien, Sicherheitseinstellungen, Lokale Richtlinien, und Überwachungsrichtlinie.

    4. Klicken Sie auf Objektzugriffsversuche überwachen.

    5. Aktivieren Sie im Detailbereich das Kontrollkästchen Diese Richtlinieneinstellungen definieren, aktivieren Sie das Kontrollkästchen Erfolgreich, und aktivieren Sie dann das Kontrollkästchen Fehler.

Weitere Überlegungen

  • Zum Bearbeiten domänenbasierter Richtlinieneinstellungen muss die GPMC installiert werden. Die GPMC ist ein zusätzliches Feature von Windows Server 2008, das mithilfe von Server-Manager installiert werden kann.

  • Beim Bearbeiten des lokalen Gruppenrichtlinienobjekts wird das Kontrollkästchen Diese Richtlinieneinstellungen definieren im Editor für lokale Gruppenrichtlinien nicht angezeigt. Es wird nur beim Bearbeiten der in AD DS gespeicherten Gruppenrichtlinienobjekte angezeigt.

  • Wenn die Kontrollkästchen Erfolgreich und Fehlerhaft nicht für die Überwachung verfügbar sind, wurde das Kontrollkästchen Diese Richtlinieneinstellung definieren möglicherweise über eine Sicherheitsrichtlinie aktiviert, die in der AD DS-Struktur auf einer höheren Ebene gültig ist. In diesem Fall müssen Sie herausfinden, auf welcher Ebene das Kontrollkästchen Diese Richtlinieneinstellungen definieren aktiviert ist. Dann müssen Sie das Kontrollkästchen deaktivieren. Sie finden diese Einstellungen bei den diesen Computer betreffenden Gruppenrichtlinienobjekten.

Aktivieren der Verzeichniszugriffsüberwachung

Die Verzeichnisdienst-Zugriffsüberwachung ist standardmäßig deaktiviert. Wenn Sie sie aktivieren möchten, müssen Sie die Gruppenrichtlinien auf Domänen-, Domänencontroller- oder einer anderen möglichen Ebene einer Organisationseinheit in AD DS verwenden.

Um die Verzeichniszugriffsüberwachung zu aktivieren, erweitern Sie folgende Knoten: Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, Überwachungsrichtlinie. Doppelklicken Sie anschließend auf Verzeichnisdienstzugriff überwachen.

Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, und aktivieren Sie dann die Kontrollkästchen Erfolgreich und Fehlerhaft.

Weitere Überlegungen

  • Wenn die Kontrollkästchen Erfolgreich und Fehlerhaft nicht für die Überwachung verfügbar sind, wurde das Kontrollkästchen Diese Richtlinieneinstellung definieren möglicherweise über eine Sicherheitsrichtlinie aktiviert, die in AD DS auf einer höheren Ebene gültig ist. In diesem Fall müssen Sie herausfinden, auf welcher Ebene das Kontrollkästchen Diese Richtlinieneinstellungen definieren aktiviert ist. Dann müssen Sie das Kontrollkästchen deaktivieren. Sie finden diese Einstellungen bei den diesen Domänencontroller betreffenden Gruppenrichtlinienobjekten.

  • Führen Sie nach dem Bearbeiten der Gruppenrichtlinienobjekte den Befehl gpupdate aus, um sicherzustellen, dass die Änderungen sofort wirksam werden.

Durch Vererbung aktivierte Überwachung

Jeder über die Vererbung aktivierte Überwachungsvorgang wird unabhängig von den lokalen Einstellungen ausgeführt. Bei einem in AD DS gespeicherten Autorisierungsspeicher kann die Überwachungsrichtlinie beispielsweise von einer übergeordneten Organisationseinheit in AD DS geerbt werden. Bei einem XML-basierten Autorisierungsspeicher wird die Überwachungsrichtlinie für den Ordner angewendet, der die XML-Datei enthält.

Inhaltsverzeichnis