Standard-Auditierungsregeln für Windows Server Betriebssysteme

Sobald eine Gruppenrichtlinie mit Auditeinstellungen aktiv ist, werden die Standard-Auditierungs-Regeln, die mit dem Betriebssystem vorkonfiguriert sind, ausgeschaltet und nur noch die explizit konfigurierten Auditeinstellungen angewendet.

Begründet ist dies dadurch, dass die Auditeinstellungen innerhalb der Gruppenrichtlinie als CSV-Datei abgebildet sind. Somit überschreibt die audit.csv der Gruppenrichtlinie auf unterster Ebene die aller übergeordneten.

Es wird daher empfohlen, die Standard-Auditierungsregeln mit in die Gruppenrichtlinie für die Zertifizierungsstelle auszunehmen.

Getestetes Betriebssystem: Windows Server 2019. Die Ergebnisse können für andere Betriebssysteme abweichen.

Einstellung
Standard
Einstellung
Microsoft Baseline
System
Security System Extension No Auditing Success
System Integrity Success, FailureSuccess, Failure
IPsec DriverNo Auditing Not configured
Other System EventsSuccess, FailureSuccess, Failure
Security State ChangeSuccessSuccess
Logon/Logoff
LogonSuccess, FailureSuccess, Failure
LogoffSuccessNot configured
Account LockoutSuccessFailure
IPsec Main ModeNo Auditing Not configured
IPsec Quick ModeNo Auditing Not configured
IPsec Extended ModeNo Auditing Not configured
Special LogonSuccessSuccess
Other Logon/Logoff EventsNo Auditing Success, Failure
Network Policy ServerSuccess, Failure Not configured
User / Device ClaimsNo Auditing Not configured
Group MembershipNo Auditing Success
Object Access
File SystemNo Auditing Not configured
RegistryNo Auditing Not configured
Kernel ObjectNo Auditing Not configured
SAMNo Auditing Not configured
Certification ServicesNo Auditing Not configured
Application GeneratedNo Auditing Not configured
Handle ManipulationNo Auditing Not configured
File ShareNo Auditing Success, Failure
Filtering Platform Packet DropNo Auditing Not configured
Filtering Platform ConnectionNo Auditing Not configured
Other Object Access EventsNo Auditing Success, Failure
Detailed File ShareNo Auditing Failure
Removable StorageNo Auditing Success, Failure
Central Policy StagingNo Auditing Not configured
Privilege Use
Non Sensitive Privilege UseNo Auditing Not configured
Other Privilege Use EventsNo Auditing Not configured
Sensitive Privilege UseNo Auditing Success, Failure
Detailed Tracking
Process CreationNo Auditing Success
Process TerminationNo Auditing Not configured
DPAPI ActivityNo Auditing Not configured
RPC EventsNo Auditing Not configured
Plug and Play EventsNo Auditing Success
Token Right Adjusted EventsNo Auditing Not configured
Policy Change
Audit Policy ChangeSuccess Success
Authentication Policy ChangeSuccess Success
Authorization Policy ChangeNo Auditing Not configured
MPSSVC Rule-Level Policy ChangeNo Auditing Success, Failure
Filtering Platform Policy ChangeNo Auditing Not configured
Other Policy Change EventsNo Auditing Failure
Account Management
Computer Account ManagementSuccessNot configured
Security Group ManagementSuccessSuccess
Distribution Group ManagementNo Auditing Not configured
Application Group ManagementNo Auditing Not configured
Other Account Management EventsNo Auditing Not configured
User Account ManagementSuccess Success, Failure
DS Access
Directory Service AccessSuccess Not configured
Directory Service ChangesNo AuditingNot configured
Directory Service ReplicationNo Auditing Not configured
Detailed Directory Service ReplicationNo Auditing Not configured
Account Logon
Kerberos Service Ticket OperationsSuccess Not defined
Other Account Logon EventsNo Auditing Not defined
Kerberos Authentication ServiceSuccess Not defined
Credential ValidationSuccess Success and Failure

Auditeinstellungen auf Betriebssystem-Ebene überprüfen

Die Auditeinstellungen auf Betriebssystem-Ebene können mit folgendem Befehl abgefragt werden. Im Bereich "Object Access" gibt es eine Kategorie "Certification Services".

auditpol.exe /get /category:* 

Weiterführende Links:

de_DEDeutsch