Aktivieren und Anwenden der Sicherheitsüberwachung in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 300549 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D300549
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
300549 How to enable and apply security auditing in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält schrittweise Anleitungen über das Aktivieren und Anwenden der Windows-Sicherheitsüberwachung.

Aktivieren der Windows-Sicherheitsüberwachung

Es ist wichtig, dass Sie Ihre Informations- und Dienstressourcen vor Personen schützen, die darauf keinen Zugriff haben sollten, und diese Ressourcen gleichzeitig autorisierten Benutzern zur Verfügung stellen. In diesem Artikel wird beschrieben, wie Windows 2000-Sicherheitsfeatures zum Überwachen des Zugriffs auf Ressourcen verwendet werden.

Sie können die Sicherheitsprotokolle so konfigurieren, dass Informationen über Verzeichnis- und Dateizugriff oder Serverereignisse aufgezeichnet werden. Sie können diese Überprüfungsebene über die Überwachungsrichtlinien in Microsoft Management Console (MMC) einstellen. Diese Ereignisse werden im Windows-Sicherheitsprotokoll protokolliert. Mit dem Sicherheitsprotokoll können Sicherheitsereignisse, wie etwa gültige und ungültige Anmeldeversuche, sowie Ereignisse in Bezug auf Ressourcenverwendung, wie etwa das Erstellen, Öffnen oder Löschen von Dateien, aufgezeichnet werden. Sie müssen sich als Administrator anmelden, um zu bestimmen, welche Ereignisse überwacht und im Sicherheitsprotokoll angezeigt werden sollen.

Wichtig: Bevor Windows 2000 den Zugriff auf Dateien und Ordner überwachen kann, müssen Sie mit dem Gruppenrichtlinien-Snap-In die Einstellung Objektzugriffsversuche überwachen in der Überwachungsrichtlinie aktivieren. Andernfalls erhalten Sie eine Fehlermeldung, wenn Sie die Überwachung für Dateien und Ordner einstellen und keine Dateien oder Ordner überwacht werden. Wenn Sie in der Gruppenrichtlinie die Überwachung aktiviert haben, zeigen Sie in der Ereignisanzeige das Sicherheitsprotokoll an, in dem erfolgreiche oder fehlgeschlagene Zugriffsversuche auf die überwachten Dateien und Ordner aufgelistet sind.

So aktivieren Sie die lokale Windows-Sicherheitsüberwachung
  1. Melden Sie sich mit einem Konto mit Administratorrechten bei Windows 2000 an. Wenn Sie anderen Benutzern das Recht zum Einstellen von Überwachungen gewähren möchten, lesen Sie den Abschnitt "Aktivieren eines anderen Kontos zum Konfigurieren der Überwachung" im Abschnitt "Informationsquellen" in diesem Artikel.
  2. Vergewissern Sie sich, dass das Gruppenrichtlinien-Snap-In installiert ist. Wenn dies nicht der Fall ist, beachten Sie die Anleitungen im Abschnitt "Installieren des Gruppenrichtlinien-Snap-Ins" im Abschnitt "Informationsquellen" in diesem Artikel.
  3. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  4. Doppelklicken Sie auf Verwaltung.
  5. Doppelklicken Sie auf Lokale Sicherheitsrichtlinie, um das Local Security Settings MMC-Snap-In zu starten.
  6. Doppelklicken Sie auf Lokale Richtlinien, um es zu erweitern, und doppelklicken Sie dann auf Überwachungsrichtlinie.
  7. Doppelklicken Sie im rechten Fensterausschnitt auf die Richtlinie, die Sie aktivieren oder deaktivieren möchten.
  8. Klicken Sie auf die Kontrollkästchen Erfolgreich (Ein erfolgreicher überwachter Sicherheitszugriffsversuch) und Fehlgeschlagen (Ein fehlgeschlagener überwachter Sicherheitszugriffsversuch) für An- und Abmeldungen. Bei dieser Einstellung wird beispielsweise der erfolgreiche Anmeldeversuch eines Benutzers am System als Erfolgsüberwachungsereignis protokolliert. Wenn ein Benutzer vergeblich versucht, auf ein Netzlaufwerk zuzugreifen, wird der Versuch als Fehlversuchsereignis protokolliert.
  9. Wenn Sie die Überwachung für einen Webserver einstellen, auf dem Microsoft Internet Information Services (IIS) Version 5.0 ausgeführt wird, finden Sie im Abschnitt "Empfehlungen für die Überwachung auf einem Webserver unter Windows 2000 und Internet Information Services 5.0" im Abschnitt "Informationsquellen" dieses Artikels eine Liste mit Überwachungsvorschlägen.
Hinweis: Wenn Sie Mitglied einer Domäne sind und eine Richtlinie auf Domänenebene definiert ist, haben Einstellungen auf Domänenebene Vorrang vor lokalen Richtlinieneinstellungen.

Wenn Active Directory aktiviert ist, können Administratoren den Zugriff auf Active Directory überwachen, wodurch erfolgreiche und fehlgeschlagene Überwachungsversuche im Verzeichnisdienst-Ereignisprotokoll protokolliert werden. Dieses Ereignisprotokoll ist nur auf Windows 2000-Domänencontrollern vorhanden.

So aktivieren Sie die Überwachung von Active Directory
  1. Melden Sie sich mit einem Konto mit Administratorrechten bei Windows 2000 an. Wenn Sie anderen Benutzern Rechte zur Überwachungseinstellung gewähren möchten, lesen Sie den Abschnitt "Informationsquellen" weiter unten.
  2. Vergewissern Sie sich, dass das Gruppenrichtlinien-Snap-In installiert ist. Ist dies nicht der Fall, beachten Sie die Installationsanleitungen im Abschnitt unten.
  3. Klicken Sie auf Start, und zeigen Sie dann nacheinander auf Programme und Verwaltung, um das Active Directory-Benutzer und Computer-Snap-In zu starten.
  4. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.
  5. Klicken Sie mit der rechten Maustaste auf den Container Domänencontroller, und klicken Sie anschließend auf Eigenschaften.
  6. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
  7. Klicken Sie auf Default Domain Controllers Policy, und klicken Sie dann auf Bearbeiten.
  8. Doppelklicken Sie auf die folgenden Objekte, um sie zu öffnen: Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, Überwachungsrichtlinie.
  9. Öffnen Sie im rechten Fensterausschnitt Active Directory-Zugriff überwachen.
  10. Klicken Sie auf die gewünschten Optionen: Erfolgreiche Versuche überwachen, Fehlgeschlagene Versuche überwachen oder beide.
  11. Wenn Sie die Überwachung für einen IIS 5.0-Webserver einstellen, finden Sie im Abschnitt "Empfehlungen für die Überwachung auf einem Webserver unter Windows 2000 und Internet Information Services 5.0" im Abschnitt "Informationsquellen" dieses Artikels eine Liste mit Überwachungsvorschlägen.
Hinweis: Unter Windows 2000 fragen Domänencontroller alle fünf Minuten eventuelle Richtlinienänderungen ab. Andere Domänencontroller im Unternehmen erhalten die Änderungen in diesem Zeitabstand plus der für die Replikation benötigten Zeit.

Hinweis: Wenn die Kontrollkästchen im Dialogfeld Überwachungseintrag unter Zugriff abgeblendet sind oder im Dialogfeld Zugriffseinstellungen die Schaltfläche Entfernen nicht zur Verfügung steht, wurde die Überwachung vom übergeordneten Ordner übernommen. Da die Größe des Sicherheitsprotokolls begrenzt ist, wählen Sie die Dateien und Ordner, die überwacht werden sollen, sorgfältig aus. Bedenken Sie auch die Größe des Festplattenspeichers, den Sie dem Sicherheitsprotokoll einräumen möchten. Die maximale Größe ist in der Ereignisanzeige definiert.

Überwachen von Ereignissen in Windows 2000 Server

Einstellen, Anzeigen, Ändern oder Entfernen von Windows-Datei- oder -Ordnerüberwachung

Die Überwachung wird eingerichtet, um sicherheitsrelevante Ereignisse zu erfassen und aufzuzeichnen, wenn ein Benutzer zum Beispiel versucht, auf eine vertrauliche Datei oder einen vertraulichen Ordner zuzugreifen. Wenn ein Objekt überwacht wird, wird jedes Mal, wenn auf bestimmte Weise auf das Objekt zugegriffen wird, ein Eintrag im Windows 2000-Sicherheitsprotokoll erstellt. Sie können bestimmen, welche Objekte, wessen Aktionen und welche Art von Aktionen genau überwacht werden sollen. Nach Einstellen der Überwachung können Sie Benutzer im Auge behalten, die auf bestimmte Objekte zugreifen, und Sicherheitsverletzungen analysieren. Aus der Überwachungsliste kann ersichtlich sein, wer die Aktionen durchgeführt hat und wer versucht hat, unerlaubte Aktionen durchzuführen.

So stellen Sie die Überwachung ein:
  1. Starten Sie den Windows Explorer (klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Zubehör, und klicken Sie dann auf Windows-Explorer ), und suchen Sie dann die Datei oder den Ordner.
  2. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, klicken Sie auf Eigenschaften und dann auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Erweitert und anschließend auf die Registerkarte Überwachung.
  4. Führen Sie ggf. eine der folgenden Aktionen aus:
    1. So stellen Sie die Überwachung für eine neue Gruppe oder einen neuen Benutzer ein
      1. Klicken Sie auf Hinzufügen. Geben Sie im Feld Name den Namen des Benutzers ein, den Sie überwachen möchten.
      2. Klicken Sie auf OK, um automatisch das Dialogfeld Überwachungseintrag zu öffnen.
    2. Um die Überwachung für eine bestimmte Gruppe bzw. einen bestimmten Benutzer anzuzeigen oder zu ändern, klicken Sie auf den Namen, und klicken Sie dann auf Anzeigen/Bearbeiten.
    3. Wenn Sie die Überwachung für eine bestehende Gruppe oder einen bestehenden Benutzer entfernen möchten, klicken Sie auf den Namen, und klicken Sie dann auf Entfernen.
  5. Klicken Sie unter Zugriff je nach der Art des Zugriffs, den Sie überwachen möchten, auf Erfolgreich oder Fehlgeschlagen oder sowohl auf Erfolgreich als auch Fehlgeschlagen.
  6. Wenn Sie verhindern möchten, dass Dateien und Unterordner des aktuellen Ordners die festgelegten Überwachungseinträge ererben, aktivieren Sie das Kontrollkästchen Überwachungseinträge nur für Objekte und/oder Container dieses Containers übernehmen.

Überwachen zum Erkennen von nicht autorisiertem Zugriff

Sie können nicht autorisierte Zugriffsversuche im Windows-Sicherheitsprotokoll erkennen. Diese Zugriffe können als Einträge im Warnungs- oder Fehlerprotokoll angezeigt werden. Diese Protokolle können auch zur späteren Verwendung archiviert werden.

So erkennen Sie mögliche Sicherheitsprobleme durch Anzeigen des Windows-Sicherheitsprotokolls:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung und dann auf Computerverwaltung.
  3. Erweitern Sie System, und erweitern Sie dann Ereignisanzeige.
  4. Klicken Sie auf Sicherheitsprotokoll.

    Hinweis: Wenn Sie das Sicherheitsprotokoll nicht anzeigen können, verfügt das verwendete Benutzerkonto nicht über die entsprechenden Berechtigungen. Dieses Problem tritt auf, da die Sicherheitsrichtlinien auf Domänenebene Vorrang vor den lokalen Sicherheitsrichtlinien auf Computerebene haben, was bedeutet, dass es sein kann, dass Sie als Administrator des lokalen Computers angemeldet sind, aber keinen Zugriff auf das Sicherheitsprotokoll haben. Diese Berechtigungen erhalten Sie bei Ihrem Netzwerkadministrator. Weitere Informationen über Sicherheitsrichtlinien finden Sie in der Windows-Dokumentation.
  5. Untersuchen Sie die Protokolle auf verdächtige Sicherheitsereignisse, einschließlich der folgenden:
    • Ungültige Anmeldeversuche
    • Nicht erfolgreiche Verwendung von Berechtigungen
    • Fehlgeschlagene Versuche, auf BAT- oder CMD-Dateien zuzugreifen oder diese zu ändern
    • Versuche zur Änderung der Sicherheitsberechtigungen oder des Überwachungsprotokolls
    • Versuche zum Herunterfahren des Servers

Arbeiten mit Windows-Sicherheitsprotokollen

Archivieren eines Windows-Sicherheitsprotokolls

So archivieren Sie ein Windows-Sicherheitsprotokoll:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung und dann auf Computerverwaltung.
  3. Erweitern Sie System, und erweitern Sie dann Ereignisanzeige.
  4. Klicken Sie auf Sicherheit.
  5. Klicken Sie im Menü Vorgang auf Protokolldatei speichern unter....
  6. Klicken Sie im Dialogfeld Speichern unter auf das Verzeichnis, in das Sie die Datei speichern möchten, und geben Sie dann einen Namen für die Datei ein.
Hinweis: Das Sicherheitsprotokoll kann als Ereignisdatei (EVT-Datei), als Textdatei (TXT-Datei) oder als durch Kommas getrennte Datei (CSV-Datei) gespeichert werden.

Öffnen eines archivierten Windows-Sicherheitsprotokolls

So öffnen Sie ein archiviertes Windows-Sicherheitsprotokoll
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung und dann auf Computerverwaltung.
  3. Erweitern Sie System, und erweitern Sie dann Ereignisanzeige.
  4. Klicken Sie im Menü Protokoll auf Sicherheit.
  5. Zeigen Sie im Menü Vorgang auf Protokolldatei öffnen.
  6. Klicken Sie im Dialogfeld Öffnen auf das vorher gespeicherte Protokoll, oder ändern Sie den Speicherort in der Liste Suchen in, und wechseln Sie zur Datei.
  7. Klicken Sie in der Liste Protokolltyp auf Sicherheit.
  8. Klicken Sie auf OK, um die Datei in der Anzeige zu öffnen.

Problembehandlung

Da die Größe des Sicherheitsprotokolls begrenzt ist, wählen Sie die Dateien und Ordner, die überwacht werden sollen, sorgfältig aus. Bedenken Sie auch die Größe des Festplattenspeichers, den Sie dem Sicherheitsprotokoll einräumen möchten. Die maximale Größe ist in der Ereignisanzeige definiert.

Wichtig: Bevor Windows 2000 den Zugriff auf Dateien und Ordner überwachen kann, müssen Sie mit dem Gruppenrichtlinien-Snap-In die Einstellung Objektzugriffsversuche überwachen in der Überwachungsrichtlinie aktivieren. Andernfalls erhalten Sie eine Fehlermeldung, wenn Sie die Überwachung für Dateien und Ordner einstellen und keine Dateien oder Ordner überwacht werden. Wenn Sie in der Gruppenrichtlinie die Überwachung aktiviert haben, zeigen Sie in der Ereignisanzeige das Sicherheitsprotokoll an, in dem erfolgreiche oder fehlgeschlagene Zugriffsversuche auf die überwachten Dateien und Ordner aufgelistet sind.




Informationsquellen

Installieren des Gruppenrichtlinien-Snap-Ins

Zur Verwendung des in diesem Artikel beschriebenen Überwachungsfeatures müssen Sie das Gruppenrichtlinien-Snap-In installieren. Dieses Snap-In ist in der Computerverwaltungskonsole nicht enthalten, und Sie müssen für das Gruppenrichtlinien-Snap-In eine neue Konsole erstellen. Weitere Informationen über das Hinzufügen von MMC-Snap-Ins erhalten Sie in der Windows 2000-Dokumentation.

So erstellen Sie eine neue Microsoft Management Console (MMC) und fügen das Gruppenrichtlinien-Snap-In hinzu
  1. Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie im Dialogfeld Ausführen den Text mmc ein, um eine neue Microsoft Management Console zu starten.
  2. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
  4. Klicken sie im Dialogfeld Eigenständiges Snap-In hinzufügen aus der Liste der verfügbaren Snap-Ins auf Gruppenrichtlinie. Klicken Sie auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen entweder auf Fertig stellen, um den lokalen Computer zu überwachen, oder auf Durchsuchen, um den Computer zu suchen, den Sie überwachen möchten.
  6. Wenn Sie auf Durchsuchen geklickt haben, fahren Sie mit Schritt 7 fort. Wenn sie auf Fertig stellen geklickt haben, fahren Sie mit Schritt 9 fort.
  7. Klicken Sie im Dialogfenster Gruppenrichtlinienobjekt suchen auf die Registerkarte Computer, klicken Sie auf Anderer Computer, wechseln Sie zu dem Computer, den Sie überwachen möchten, und klicken Sie dann auf OK.
  8. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Fertig stellen.
  9. Schließen Sie das Dialogfeld Eigenständiges Snap-In hinzufügen.
  10. Klicken Sie auf OK.
  11. Wählen Sie im Menü Konsole die Option Speichern, um die neue Konsole auf der Festplatte zu speichern. Mit dieser Konsole werden die Überwachungsfeatures konfiguriert.

Aktivieren eines anderen Kontos zum Konfigurieren der Überwachung

Standardmäßig haben nur Mitglieder der Administratorengruppe die Berechtigung zum Ändern der Überwachung. Sie können die Aufgabe zum Konfigurieren der Überwachung von Serverereignissen an ein anderes Benutzerkonto delegieren, indem Sie in der Gruppenrichtlinie die Berechtigung zum Verwalten der Überwachung und des Sicherheitsprotokolls gewähren.

So geben Sie dem Konto die Möglichkeit zum Konfigurieren der Überwachung
  1. Erweitern Sie in der erstellten Gruppenrichtlinienkonsole die folgenden Menüs in folgender Reihenfolge:
    1. Computerkonfiguration
    2. Windows-Einstellungen
    3. Sicherheitseinstellungen
    4. Lokale Richtlinien
    5. Zuweisen von Benutzerrechten
  2. Klicken Sie auf Verwalten von Überwachungs- und Sicherheitsprotokollen, klicken Sie auf Vorgang, und klicken Sie dann auf Sicherheitseinstellungen....
  3. Klicken Sie im Dialogfeld Verwalten von Überwachungs- und Sicherheitsprotokollen auf Hinzufügen.

    Hinweis: Wenn die Schaltfläche Hinzufügen nicht verfügbar ist (und abgeblendet dargestellt wird), deaktivieren Sie das Kontrollkästchen Aus lokaler Richtlinie ausschließen, um die Schaltfläche Hinzufügen zu aktivieren.
  4. Klicken Sie auf den gewünschten Benutzer bzw. die gewünschte Benutzergruppe aus der Liste, und klicken Sie dann auf Hinzufügen. Klicken Sie auf OK.

Empfehlungen zur Überwachung auf Windows 2000 IIS 5.0-Webservern

Bei einem Computer auf Windows 2000 Server-Basis, auf dem IIS 5.0 ausgeführt wird, sollten Sie die Überwachung mit Hilfe der folgenden Windows-Ereignisse durchführen. "Überwachen erfolgreicher Versuche" bedeutet, dass Sie an erfolgreichen Versuchen interessiert sind, und "Überwachen fehlgeschlagener Versuche" bedeutet, dass Sie an Fehlern im Ablauf eines Ereignisses interessiert sind. "Ein" bedeutet, dass das Ereignis überwacht wird, während "Aus" bedeutet, dass das Ereignis nicht überwacht wird.

Die folgende Liste enthält Überwachungsvorschläge für verschiedene Ereignisse auf einem Windows 2000-Computer, der als IIS-Webserver dient:
  • Kontoanmeldung
    Erfolgreiche Versuche überwachen: Ein

    Fehlgeschlagene Versuche überwachen: Ein
  • Kontenverwaltung
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Ein
  • Verzeichnisdienstzugriff
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Ein
  • Anmeldung
    Erfolgreiche Versuche überwachen: Ein

    Fehlgeschlagene Versuche überwachen: Ein
  • Objektzugriff
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Aus
  • Richtlinienänderung
    Erfolgreiche Versuche überwachen: Ein

    Fehlgeschlagene Versuche überwachen: Ein
  • Berechtigungen
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Ein
  • Prozessnachverfolgung
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Aus
  • System
    Erfolgreiche Versuche überwachen: Aus

    Fehlgeschlagene Versuche überwachen: Aus

Eigenschaften

Artikel-ID: 300549 - Geändert am: Montag, 27. März 2006 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbhowto kbhowtomaster kbperformance KB300549
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com