Windows Ereignisanzeige für Audits und Security Monitoring per PowerShell-Tool konfigurieren

[English]Wie konfiguriert man die Ereignisanzeige unter Windows dergestalt, dass diese für Audits und Security Monitoring genutzt werden kann. Jemand hat für diesen Zweck ein PowerShell-Tool geschrieben.


Anzeige

Ich bin über den nachfolgenden Tweet des Sicherheitsforschers Nicolas Krassas auf diesen Ansatz gestoßen.

Die Audit-Richtlinien von Windows sind standardmäßig eingeschränkt. Das bedeutet, dass für Incident Responders, Blue Teamers, CISO’s & Personen, die ihre Umgebung mit Hilfe von Windows-Ereignisprotokollen überwachen möchten, die Audit-Richtlinien-Einstellungen konfigurieren müssen, um eine erweiterte Protokollierung zu ermöglichen.

Das PowerShell Tool Audix zielt darauf ab, die aktuelle Audit-Richtlinieneinstellung zu erfassen, ein Backup davon durchzuführen (für den Fall, dass eine Wiederherstellung des vorherigen Zustands erforderlich ist) und eine erweiterte Audit-Richtlinieneinstellung anzuwenden, um ein besseres Security Monitoring mit verbesserter Erkennungsfähigkeit zu ermöglichen.

Darüber hinaus wird es Audit-Richtlinien-Unterkategorien durchsetzen, um sicherzustellen, dass diese fortschrittlichen Einstellungen bestehen bleiben. Es gibt auch eine Einstellung zur Anpassung der Begrenzung der Protokollgröße. Das Ganze steht kostenfrei auf GitHub bereit. Vielleicht ist die Information für jemanden von Euch hilfreich.

Ergänzung: Jörn Walter hat die Richtlinien aus Audix an ein deutsches Windows angepasst. Die Details findet ihr in seinem Blog-Beitrag hier. Danke an Jörn für die Ergänzung.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit PowerShell, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Windows Ereignisanzeige für Audits und Security Monitoring per PowerShell-Tool konfigurieren

  1. 1ST1 sagt:

    Als Admin würde ich gerne sehen (ohne erst die PS1 zu zerpflücken) welche Settings mir dieses Script umstellt, bevor ich das Script laufen lasse. Außerdem AUDIT, das klingt nach Firmennetz, privat macht keiner einen Security-Audit auf seinem Heim-PC. In einem Firmennetz machen aber lokale Richtlinien keinen Sinn. Es wäre wohl sinnvoller, einen dokumentierten GPO-Export zu haben, den man sich in die eigene Gruppenrichtlinienverwaltung als neue GPO importieren kann. Und dann ist da noch die Frage, sind diese Settings eher für Workstations, oder für Server? Was unterscheidet diese Settings von den Microsoft Security Baselines und anderen Empfehlungen, die man so findet und ggf. schon implementiert hat?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.