Sie können die Vorgänge eines Online-Responders überwachen, indem Sie Ereignisse im Windows-Sicherheitsereignisprotokoll aufzeichnen. Mit dem Online-Responder können folgende Überwachungsereignisse konfiguriert werden:
-
Online-Responderdienst starten/anhalten Jedes Starten und Anhalten des Online-Responderdiensts wird protokolliert.
-
Änderungen an der Konfiguration des Online-Responders Sämtliche Änderungen der Online-Responderkonfiguration, einschließlich Änderungen der Überwachungseinstellungen, werden protokolliert.
-
Änderungen an den Sicherheitseinstellungen des Online-Responders Sämtliche Änderungen an der Zugriffssteuerungsliste für Dienstanforderungs- und Verwaltungsschnittstellen des Online-Responders werden protokolliert.
-
An den Online-Responder gesendete Anforderungen Sämtliche vom Online-Responder-Dienst verarbeiteten Anforderungen werden protokolliert. Diese Option kann zu einer hohen Auslastung des Diensts führen und sollte daher nur in einzelnen Fällen in Betracht gezogen werden. Beachten Sie, dass ausschließlich Anforderungen, die von einem Online-Responder signiert werden müssen, Ereignisse generieren, die überwacht werden. Anforderungen nach kürzlich zwischengespeicherten Antworten werden nicht protokolliert.
Sie benötigen auf dem Server mit dem Online-Responder die Berechtigung Online-Responder verwalten, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer Public Key-Infrastruktur (PKI) finden Sie unter Implementieren der rollenbasierten Verwaltung.
So aktivieren Sie die Überwachung von Online-Respondervorgängen |
Öffnen Sie das Online-Responder-Snap-In, und wählen Sie den Online-Responder aus.
Klicken Sie im Menü Aktion bzw. im Bereich Aktionen auf Respondereigenschaften.
Klicken Sie auf die Registerkarte Überwachung, wählen Sie die Online-Responder-Überwachungsoptionen aus, die protokolliert werden sollen, und klicken Sie dann auf OK.
Überwachungsereignisse werden nur dann im Windows-Sicherheitsprotokoll aufgezeichnet, wenn die Richtlinie Objektzugriffsversuche überwachen aktiviert ist.
Sie müssen auf dem Server mit dem Online-Responder als Administrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer PKI finden Sie unter Implementieren der rollenbasierten Verwaltung.
So aktivieren Sie die Richtlinie zur Überwachung der Objektzugriffsversuche |
Öffnen Sie den lokalen Gruppenrichtlinien-Editor.
Erweitern Sie unter Computerkonfiguration die Option Windows-Einstellungen, die Option Sicherheitseinstellungen und dann die Option Lokale Richtlinien, und klicken Sie anschließend auf Überwachungsrichtlinie.
Doppelklicken Sie auf die Richtlinie Objektzugriffsversuche überwachen.
Aktivieren Sie die Kontrollkästchen Erfolgreich und Fehler, und klicken Sie auf OK.