Windows Server 2003 überwachen: Der Systemmonitor

Überwachungsrichtlinien

Sie können sich bei Windows Server 2003 die Konfiguration der Überwachung erleichtern, indem Sie eine Überwachungsrichtlinie erstellen. In dieser definieren Sie dann die Ereignisse, die im Sicherheitsprotokoll aufgezeichnet werden sollen. Überwachungsrichtlinien werden wie andere Richtlinien mit den Gruppenrichtlinien-Snap-ins konfiguriert. Im Gegensatz zu den Vorgängerversionen ist bei Windows Server 2003 die Überwachung per Vorgabe aktiviert. Indem Sie verschiedene Ereignisüberwachungskategorien aktivieren, können Sie eine Überwachungsrichtlinie implementieren, die den Sicherheitsansprüchen Ihrer Organisation entspricht.

Der erste Schritt bei der Erstellung einer Überwachungsrichtlinie besteht darin zu entscheiden, welche Ereignisse und Benutzer auf welchen Computern überwacht werden sollen. Im Allgemeinen unterscheiden sich Überwachungsrichtlinien je nach Rolle oder Typ des überwachten Computers. Beispielsweise dürfte die Überwachungsrichtlinie bei einem Domänen-Controller deutlich umfassender als bei einer Workstation sein. Zudem können Überwachungsrichtlinien auf verschiedenen Ebenen definiert werden. Sie müssen also entscheiden, ob sie für den Standort, die OU oder die ganze Domäne gelten sollen.

Dann müssen Sie entscheiden, welche Attribute der überwachten Ereignisse verfolgt werden sollen. Wenn Sie etwa Anmeldeversuche verfolgen, müssen Sie entscheiden, ob erfolgreiche Anmeldungen, gescheiterte Anmeldungen oder beide aufgezeichnet werden sollen. Vergessen Sie dabei nicht: Je mehr Ereignisse Sie überwachen, desto größer wird das Protokoll Sicherheit. Selbst wenn Sie die Größe des Protokolls erhöhen, bleibt das Problem, dass es schwieriger wird, bestimmte Ereignisse aufzufinden.

Nachdem Sie entschieden haben, welche Ereignisse wie überwacht werden sollen, konfigurieren Sie den Container Überwachungsrichtlinie im Snap-in Gruppenrichtlinienobjekt-Editor. Nachdem Sie Ihre Einstellungen vorgenommen haben, verwenden Sie dasselbe Snap-in, um Ihre Überwachungsrichtlinie auf die gewünschten Objekte anzuwenden.