Priorität der erweiterten Überwachungsrichtlinienkonfiguration

Das Gruppenrichtlinienobjekt (GPO), das Tenable Identity Exposure erstellt, um die erforderliche Ereignisprotokollierung zu ermöglichen, ist mit der Organisationseinheit (OU) der Domänencontroller mit aktiviertem Modus „Erzwungen“ verknüpft.

Dies gibt dem GPO zwar eine hohe Priorität, aber ein auf einer höheren Ebene (z. B. Domäne oder Site) konfiguriertes erzwungenes GPO hat Vorrang.

Wenn das GPO mit höherer Priorität, das die Einstellungen für die erweiterte Überwachungsrichtlinienkonfiguration definiert, mit den Anforderungen von Tenable Identity Exposure in Konflikt steht, hat es Vorrang. Tenable Identity Exposure fehlen in diesem Fall für die Angriffserkennung erforderliche Ereignisse.

Da Windows die von GPOs definierten Einstellungen für die erweiterte Überwachungsrichtlinienkonfiguration zusammenführt, können verschiedene GPOs unterschiedliche Einstellungen definieren.

Allerdings wird auf jeder Einstellungsebene nur der vom GPO definierte Wert mit der höheren Priorität verwendet. Beispiel: Tenable Identity Exposure benötigt den Erfolgs- und Fehlerwert für die Einstellung „Überprüfen der Anmeldeinformationen überwachen“. Wenn ein GPO mit höherer Priorität für die Einstellung „Überprüfen der Anmeldeinformationen überwachen“ jedoch nur „Erfolg“ definiert, erfasst Windows nur Erfolgsereignisse, und Tenable Identity Exposure fehlen die benötigten Fehlerereignisse.

  1. Führen Sie in der Befehlszeilenschnittstelle den folgenden Befehl für einen Domänencontroller aus.

    Der Befehl gibt die geltende erweiterte Überwachungsrichtlinienkonfiguration nach Berücksichtigung aller GPOs und der Priorität aus.

    Kopieren 
    auditpol.exe /get /category:*

  2. Vergleichen Sie die Ausgabe mit den Tenable Identity Exposure-Anforderungen für erweiterte Überwachungsrichtlinien. Überprüfen Sie für jede von Tenable Identity Exposure benötigte Einstellung, ob die geltende Richtlinie sie ebenfalls abdeckt.

    • Es ist kein Problem, wenn die geltende Richtlinie umfassender ist, wenn also z. B. Tenable Identity Exposure „Erfolg“ oder „Fehler“ benötigt und die Einstellung „Erfolg und Fehler“ lautet.

    • Wenn die geltende Richtlinie nicht ausreicht, bedeutet dies, dass ein GPO mit höherer Priorität in Konflikt stehende Einstellungen definiert.

  1. Suchen Sie nach GPOs, die im Modus „Erzwungen“ mit höheren Ebenen (Domäne oder Site) verknüpft sind, die die erweiterte Überwachungsrichtlinienkonfiguration definieren.

  2. Führen Sie in der Befehlszeilenschnittstelle den folgenden Befehl für einen Domänencontroller aus, um das ausschlaggebende GPO zu lokalisieren:

    Kopieren 
    gpresult /scope:computer /h gpo.html

  1. Ändern Sie die entsprechende Einstellung der erweiterten Überwachungsrichtlinienkonfiguration im GPO so, dass die Mindestanforderungen von Tenable Identity Exposure erfüllt werden. Beispiel:

    • Wenn Tenable Identity Exposure „Erfolg“ erfordert und das GPO höherer Priorität „Fehler“ definiert, ändern Sie die Einstellung in „Erfolg und Fehler“.

    • Wenn Tenable Identity Exposure „Erfolg und Fehler“ erfordert und das GPO höherer Priorität „Erfolg“ definiert, ändern Sie die Einstellung in „Erfolg und Fehler“.

  1. Nachdem Sie die Einstellung geändert haben, können Sie entweder warten, bis das aktualisierte GPO angewendet wird, oder es mit dem Befehl gpupdate erzwingen.

  2. Wiederholen Sie das Verfahren „So ermitteln Sie die GPO-Priorität“, um die neue geltende Richtlinie zu überprüfen.