Diese Seite enthält eine Liste mit allen Änderungen, die an der Überwachungsrichtlinie auf dem ausgewählten Server vorgenommen werden, wenn Sie die Richtlinie anwenden. Hier werden die aktuellen Einstellungen für jede Überwachungsrichtlinieneinstellung und die durch die Richtlinie definierten Einstellungen angezeigt. Die Änderungen werden erst dann auf dem ausgewählten Server vorgenommen, wenn Sie die Sicherheitsrichtlinie anwenden.
Wenn Sie die resultierende Überwachungsrichtlinie ändern möchten, können Sie zur vorherigen Seite zurückkehren und eine der anderen beiden Richtlinienoptionen auf der Seite Systemüberwachungsrichtlinie auswählen.
SACLs und Rollback
SCWAudit.inf ist die im Sicherheitskonfigurations-Assistenten bereitgestellte Sicherheitsüberwachungsvorlage. In SCWAudit.inf werden die Zugriffssteuerungslisten für das System (System Access Control Lists, SACLs) definiert, die dazu dienen, Manipulationen oder versuchte Manipulationen am Betriebssystem zu erkennen. Mithilfe dieser SACLs kann das System die Zugriffe aller Benutzer auf alle ausführbaren Dateien und Konfigurationsdateien in der Windows-Verzeichnisstruktur sowie Änderungen am Status oder an der Konfiguration der Windows-Dienste aufzeichnen. Durch die SACLs werden keine Dateien und Verzeichnisse überwacht, die vorrangig für andere Zwecke verwendet werden, und es werden so wenige Ereignisse wie möglich protokolliert. Beim Installieren eines Service Packs, Wiederherstellen von Informationen aus einer Sicherung oder Ändern von Berechtigungen für das gesamte Windows-Verzeichnis oder einen Teil des Windows-Verzeichnisses können jedoch zahlreiche Ereignisse generiert werden.
Das Rollbackfeature des Sicherheitskonfigurations-Assistenten bietet nicht die Möglichkeit, ein Rollback für die SACLs auszuführen. Wenn Sie die Sicherheitsvorlage SCWAudit.inf nicht anwenden möchten, können Sie daher auf der Seite Überwachungsrichtlinienzusammenfassung das Kontrollkästchen Die Sicherheitsvorlage SCWAudit.inf mit einbeziehen. Durch "SCWAudit.inf" werden Systemzugriffssteuerungslisten (SACLs) so festgelegt, dass der Zugriff auf das Dateisystem überwacht wird. deaktivieren.
Wenn Sie Details zum Dateisystem und in SCWAudit.inf definierten Registrierungs-SACLs anzeigen möchten, können Sie SCWAudit.inf über das Snap-In Sicherheitsvorlagen öffnen. Die Datei SCWAudit.inf befindet sich unter %WINDIR%\Security\Msscw\Kbs.
Es wird noch eine weitere Sicherheitsvorlage zur Verfügung gestellt: DefaultSACLs.inf. Mit dieser Vorlage können Sie die Standard-SACLs erneut anwenden, wenn SCWAudit.inf nicht wie vorgesehen ausgeführt wird. Dabei werden nicht die SACLs angewendet, die vor dem Anwenden von SCWAudit.inf in Kraft traten, sondern die mit Windows installierten Standard-SACLs. Wenn Sie DefaultSACLs.inf anwenden möchten, geben Sie Folgendes an einer Eingabeaufforderung ein:
secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb