Zum Inhalt springen 
Einführung
Infrastruktursicherheit ist ohne transparente Kontrolle nicht möglich. Eine der wichtigsten Funktionen, die eine solche Kontrolle in einer Windows-Umgebung ermöglicht, ist die Überwachungsrichtlinie. Durch Aktivieren der Windows-Überwachungsrichtlinie können Sie Anmeldeversuche, Dateizugriffe, Berechtigungsänderungen, Prozessstarts und andere wichtige Ereignisse verfolgen.
In einer Unternehmensumgebung, insbesondere bei der Einhaltung von ISO/IEC 27001, PCI DSS oder SOC-Anforderungen, ist die Windows-Sicherheitsüberwachung nicht nur eine zusätzliche Funktion, sondern ein obligatorisches Element. In diesem Artikel werden wir anhand von Beispielen, Listen und Empfehlungen erläutern, wie Sie die Windows-Überwachungsrichtlinie effektiv konfigurieren und nutzen können.
Was ist die Windows-Überwachungsrichtlinie
Die Überwachungsrichtlinie ist ein in Windows integrierter Mechanismus, mit dem Sie wichtige Benutzer- und Prozessaktionen im Systemprotokoll (Ereignisprotokoll) protokollieren können. Diese Protokolle können verwendet werden, um:
- Sicherheitsvorfälle zu untersuchen,
- den Zugriff auf vertrauliche Daten zu überwachen,
- Hacking-Versuche zu erkennen
- und interne Kontroll- und Audit-Anforderungen zu erfüllen.
Beispiele für Ereignisse, die protokolliert werden können:
- Erfolgreiche und erfolglose Anmeldeversuche
- Zugriff auf Dateien und Ordner
- Änderungen an Benutzergruppen
Warum sollten Sie die Windows-Überwachungsrichtlinie aktivieren?
Skript | Vorteile einer Prüfung |
Untersuchung von Datenlecks | Zeigt an, wer wann auf welche Datei zugegriffen hat. |
Kontrolle der Handlungen von Administratoren | Protokolliert Änderungen an Berechtigungen und der Ausführung von Skripten. |
Einhaltung von Audit-Anforderungen (SOC, ISO) | Vollständiges Ereignisprotokoll mit Zeitangaben und Benutzerreferenzen |
Schutz vor internen Bedrohungen | Erkennt ungewöhnliche Aktivitäten und unbefugten Zugriff |
So aktivieren und konfigurieren Sie die Windows-Überwachungsrichtlinie: Vollständige Anleitung
Mit der Überwachungsrichtlinie in Windows können Sie wichtige Ereignisse protokollieren, darunter Anmeldungen, Dateizugriffe, Berechtigungsänderungen, Prozessstarts und vieles mehr. Sie können sie lokal (auf einem einzelnen Server oder einer einzelnen Workstation) oder über Gruppenrichtlinien (GPO) in einer Domäne konfigurieren.
Option 1: Lokale Konfiguration auf einem Server oder einer Workstation
Geeignet für
- VPS/Standalone-Server
- Computer außerhalb der Domäne
- Testrechner
Schritt 1: Öffnen Sie das Snap-In „Lokale Sicherheitsrichtlinie“
Drücken Sie Win + R, geben Sie secpol.msc ein und drücken Sie die Eingabetaste.
Gehen Sie zum Abschnitt: Lokale Sicherheitsrichtlinie → Lokale Richtlinien → Überwachungsrichtlinie
Schritt 2: Aktivieren Sie die erforderlichen Überwachungskategorien
Sie haben Zugriff auf 9 Hauptkategorien:
Kategorie | Was aufgezeichnet wird |
Prüfung des Zugriffs auf Objekte | Zugriff auf Dateien, Ordner, Registrierung |
Systemanmeldeprüfung | Versuche, sich an der Workstation anzumelden (RDP, interaktiv) |
Netzwerkzugangsprüfung | Zugriff über Netzwerkressourcen (z. B. freigegebene Laufwerke) |
Prüfung von Kontobewegungen | Benutzer erstellen, löschen und ändern |
Prüfung der Nutzung von Berechtigungen | Anwendung von Verwaltungsmaßnahmen |
Systemereignis-Audit | Neustart, Herunterfahren, Dienstfehler |
Prüfung von Änderungen der Richtlinien | Versuche, Sicherheitsrichtlinien zu ändern |
Prozessprüfung | Anwendungen starten/schließen |
Prüfung der Verzeichnisdienste | Nur in Active Directory-Domänen |
Beispiel für die Einbeziehung:
Öffnen Sie die Richtlinie „Anmeldeüberwachung“ und aktivieren Sie die folgenden Kontrollkästchen:
- Erfolgreiche Versuche
- Fehlgeschlagene Versuche
Wiederholen Sie diesen Vorgang für andere erforderliche Richtlinien.
Schritt 3: Anwenden und neu starten
Änderungen werden wirksam:
- Nach dem Neustart
Oder nach der Ausführung:
gpupdate /force Option 2: Konfiguration über Gruppenrichtlinien (GPO) in der Domäne
Geeignet für:
- Active Directory-Umgebungen
- Massenverwaltung von Servern und PCs
Schritt 1: Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole
Drücken Sie auf dem Domänencontroller Win + R und geben Sie Folgendes ein:
gpmc.msc Schritt 2: Erstellen oder ändern Sie die Richtlinie
Erstellen Sie eine neue GPO (z. B.: Audit Policy Servers)
Gehen Sie zu: Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie
Schritt 3: Aktivieren Sie die erforderlichen Einstellungen
Aktivieren Sie wie in den lokalen Einstellungen:
- Objektzugriff überwachen
- Anmeldeereignisse überwachen
- Richtlinienänderungen überwachen usw.
Geben Sie an, welche Ereignisse protokolliert werden sollen: Erfolg, Fehler oder beides.
Schritt 4: Verknüpfen Sie die Richtlinie mit der Organisationseinheit
Wenden Sie die GPO auf den gewünschten Container (Organisationseinheit) mit Servern oder Arbeitsstationen an.
Schritt 5: Wenden Sie die Richtlinie an
Führen Sie auf den Client-Computern Folgendes aus:
gpupdate /force oder warten Sie, bis die GPO automatisch aktualisiert wird.
Erweiterte Einstellungen: Erweiterte Konfiguration der Überwachungsrichtlinien
Ab Windows Server 2008 R2 und Windows 7 wurde ein flexibleres System eingeführt:
- 53 Überwachungsunterkategorien anstelle von 9
- Konfiguration fein abgestimmter Ereignisse (z. B. RDP-Anmeldung, Prozessstart, ACL-Änderungen)
So aktivieren Sie die Funktion:
- Öffnen Sie gpedit.msc (oder gpmc.msc für Domänen).
- Gehen Sie zu
- pgsql
- Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien
Aktivieren Sie die gewünschten Unterkategorien. Einige der nützlichsten sind
Unterkategorie | Beschreibung |
Anmeldung | Erfolgreiche und erfolglose Einträge |
Objektzugriff | Versuche, auf geschützte Objekte zuzugreifen |
Kontoanmeldung | Benutzerauthentifizierung über das Netzwerk |
Änderung der Richtlinien | Versuche, Sicherheitsrichtlinien zu ändern |
Privilegierte Nutzung | Verwendung von Administratorrechten |
Prozess-Erstellung | Einführung neuer Prozesse |
Um zu verhindern, dass erweiterte Richtlinien mit Standardrichtlinien in Konflikt geraten, wird empfohlen, den Standardabschnitt zu deaktivieren:
Überwachung: Einstellungen der Unterkategorie „Überwachungsrichtlinie erzwingen“ (Windows Vista oder höher) zum Überschreiben der Einstellungen der Überwachungsrichtlinienkategorie = Aktiviert
Anzeigen und Ändern mit PowerShell:
Überprüfen:
auditpol /get /category:* Aktivieren Sie beispielsweise die Anmeldeüberwachung:
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
Wo können die Prüfergebnisse angezeigt werden?
Alle Ereignisse werden im Windows-Sicherheitsprotokoll aufgezeichnet:
- Öffnen Sie eventvwr.msc.
- Gehen Sie zu:
- Windows-Protokolle → Sicherheit
Verwenden Sie die Ereignis-ID:
ID | Veranstaltung |
4624 | Erfolgreiche Anmeldung |
4625 | Anmeldefehler |
4663 | Versuch, auf Objekt zuzugreifen |
4719 | Ändern der Audit-Einstellungen |
4688 | Prozess starten |
4670 | Ändern von Berechtigungen (ACL) |
Durch Filtern nach diesen IDs können Sie die benötigten Ereignisse schnell finden.
Konfigurationstipps
- Aktivieren Sie nur die erforderlichen Kategorien, da das System sonst mit unnötigen Protokollen überlastet wird.
- Exportieren und archivieren Sie Protokolle regelmäßig.
- Konfigurieren Sie Benachrichtigungen über PowerShell oder SIEM.
- Beschränken Sie den Zugriff auf Protokolle – nur Administratoren sollten Leserechte haben.
Tipps für eine effektive Überwachung
- Bewahren Sie Protokolle mindestens 90 Tage lang auf, insbesondere wenn Compliance-Anforderungen bestehen.
- Verwenden Sie ein SIEM-System (z. B. Wazuh, Splunk, ELK), um Protokolle zentral zu analysieren.
- Aktivieren Sie nicht alle Optionen, da dies zu Redundanzen und einer Überlastung des Systems führt.
- Beauftragen Sie jemanden mit der Überprüfung und Überprüfung der Protokolle.
Fazit
Die Aktivierung der Windows-Überwachungsrichtlinien ist ein grundlegender Schritt zur Gewährleistung der Sicherheit in jeder Unternehmens-IT-Infrastruktur. Durch eine ordnungsgemäß konfigurierte Überwachung können Sie Bedrohungen identifizieren, den Datenzugriff verfolgen und Informationssicherheitsstandards einhalten. Unabhängig davon, ob Sie einen dedizierten Server oder Windows VPS verwenden, ist die Aktivierung und Kontrolle von Überwachungsrichtlinien eine sinnvolle Investition in die Stabilität und Sicherheit Ihrer Umgebung.
