# Windows Security Auditing: Transparenz & Compliance im AD

TL;DR / Management Summary Ein Server ohne Auditing ist blind. Wir nutzen die Erweiterte Überwachungsrichtlinienkonfiguration (Advanced Auditing), um gezielt Ereignisse wie Account-Logins, Dateizugriffe und Berechtigungs-Änderungen aufzuzeichnen. Ein Senior Admin verlässt sich nicht auf die mageren Standard-Logs, sondern baut eine Infrastruktur aus Event Forwarding (WEF) und Alarmsystemen auf, die bei unbefugten Zugriffen (Lateral Movement) sofort reagieren.

# 1. Einführung & Architektur

Das Gedächtnis des Sicherheitsbeauftragten.

Windows Auditing erfasst Aktionen, die gegen Sicherheitsdeskriptoren (SACLs) ausgeführt werden.

# Die zwei Welten des Auditing

1. Legacy Auditing: 9 grobe Kategorien (z.B. “Objektzugriff”). Zu ungenau, produziert zu viel Rauschen.
2. Advanced Auditing: Über 50 Unterkategorien (z.B. “Detaillierte Dateifreigabe”). Ermöglicht chirurgische Präzision.

# 2. Konfiguration in der Praxis

Das richtige Maß finden.

Aktivieren Sie Auditing via GPO: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinienkonfiguration.

# Die ‘Must-Have’ Kategorien

• Anmelden/Abmelden: Erfolgreiche und fehlgeschlagene Logins (Event IDs 4624, 4625).
• Kontenverwaltung: Passwortänderungen, neue User (IDs 4720, 4723).
• Richtlinienänderung: Änderungen an GPOs oder Firewall-Regeln (ID 4719).
• Systemereignisse: Systemstarts, Abstürze, Log-Löschungen (IDs 1102, 4608).

# 3. Deep Dive: Objektzugriffs-Auditing

Wer hat die Datei gelesen?

Damit ein Dateizugriff geloggt wird, müssen zwei Dinge erfüllt sein:

1. Die GPO “Überwachung des Dateisystems” muss auf Erfolg und Fehler stehen.
2. Am Ordner selbst muss in den Sicherheitseinstellungen -> Erweitert -> Überwachung ein Eintrag für den User/die Gruppe vorhanden sein.

# 4. Day-2 Operations: Log-Schutz & Archivierung

Den Angreifer nicht das Tagebuch löschen lassen.

Angreifer löschen als Erstes das Security-Log (wevtutil cl security).

# Gegenmaßnahmen

• Event Forwarding (WEF): Senden Sie Logs in Echtzeit an einen gehärteten Collector-Server (Artikel 463).
• Log-Größe: Erhöhen Sie das Limit auf 512 MB oder mehr via GPO.
• Auto-Backup: Aktivieren Sie “Protokoll archivieren, wenn es voll ist”.

# 5. Troubleshooting & “War Stories”

Wenn das Log explodiert.

# Top 3 Fehlerbilder

1. Symptom: 10.000 Events pro Minute im Security-Log.

   • Ursache: “Detaillierte Dateifreigabe” auf einem hocheffizienten Fileserver oder Audit-Eintrag auf Everyone für den List Folder Zugriff.
   • Lösung: Audit-Einträge auf dem Filesystem spezifischer gestalten oder die Unterkategorie “Detaillierte Dateifreigabe” deaktivieren.

2. Symptom: “Der Überwachungsdienst konnte keine Ereignisse protokollieren”.

   • Ursache: Disk Full oder korruptes Dateisystem.
   • Lösung: chkdsk und Bereinigung der Disk (Artikel 442).

3. Symptom: Fehlende Quell-IPs im Log.

   • Ursache: NTLM-Authentifizierung über einen Proxy/Loadbalancer ohne Header-Weitergabe.

# “War Story”: Der schlaue Ransomware-Vorbereiter

Ein Angreifer versuchte über Wochen hinweg, das Passwort eines Admins zu erraten. Er schickte nur 3 Versuche pro Stunde, um den Lockout zu umgehen. Die Entdeckung: Da wir Advanced Auditing for Logon aktiv hatten, konnten wir eine Statistik über Wochen fahren. Wir sahen, dass die Event-ID 4625 (Failed Logon) immer von der gleichen Quell-IP kam, aber über verschiedene Computer-Namen. Lehre: Ohne detaillierte Log-Analyse über einen langen Zeitraum (SIEM) sind punktuelle Angriffe unsichtbar.

# 6. Monitoring & Reporting

Dashboard der Sicherheit.

# KPIs

• Anmeldefehlerrate: Plötzliche Steigerung um > 200% -> Alarm!
• Event ID 1102: Protokoll wurde gelöscht -> Sofortige Sperrung des verantwortlichen Admins.

# 7. Fazit & Empfehlung

Auditing ist die Basis für Forensik und Compliance.

• Empfehlung: Nutzen Sie die Microsoft Security Baselines als Vorlage für Ihre Audit-GPOs. Sie enthalten die optimale Balance aus Sichtbarkeit und Performance.
• Strategie: Implementieren Sie Sysmon (Sysinternals) als Ergänzung zum Standard-Auditing für noch tiefere Einblicke in Prozess-Bäume und Netzwerk-Flows.

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: Advanced Security Audit Policy Settings
• NSA: Spotting the Adversary with Windows Event Log Monitoring
• MalwareArchaeology: Windows Logging Cheat Sheets