Geavanceerde configuratie van controlebeleid

Van toepassing op: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

De instellingen voor configuratie van geavanceerd controlebeleid vindt u onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Advanced Audit Policy Configuration\System Audit Policies in Groepsbeleid. Met deze instellingen kunnen organisaties de naleving van belangrijke bedrijfs- en beveiligingsvereisten bewaken door specifieke activiteiten bij te houden, zoals:

Wijzigingen die door groepsbeheerders worden aangebracht in instellingen of gegevens op servers met gevoelige informatie (bijvoorbeeld financiële servers).
Toegang tot kritieke bestanden door werknemers binnen aangewezen groepen.
Toepassing van de juiste systeemtoegangsbeheerlijst (SACL) voor alle bestanden, mappen of registersleutels op een computer of bestandsshare, waardoor een controleerbare beveiliging tegen onbevoegde toegang wordt geboden.

U kunt deze controlebeleidsinstellingen openen via de module Lokaal beveiligingsbeleid (secpol.msc) op de lokale computer of met behulp van Groepsbeleid.

Deze geavanceerde controlebeleidsinstellingen bieden gedetailleerde controle over welke activiteiten worden bewaakt, zodat u zich kunt richten op gebeurtenissen die het meest relevant zijn voor uw organisatie. U kunt controle uitsluiten voor acties die niet belangrijk zijn of die onnodig logboekvolume genereren. Bovendien kunt u, omdat deze beleidsregels kunnen worden beheerd via groepsbeleidsobjecten voor domeinen, eenvoudig auditconfiguraties wijzigen, testen en implementeren voor specifieke gebruikers en groepen, indien nodig.

De geavanceerde configuraties voor controlebeleid zijn als volgt:

Aanmelden bij account

Het configureren van beleidsinstellingen in deze categorie kan u helpen bij het documenteren van pogingen om accountgegevens te verifiëren op een domeincontroller of op een lokale Security Accounts Manager (SAM). In tegenstelling tot beleidsinstellingen en gebeurtenissen voor aanmelden en afmelden , die pogingen bijhouden om toegang te krijgen tot een bepaalde computer, instellingen en gebeurtenissen in deze categorie, richten zich op de accountdatabase die wordt gebruikt. Deze categorie bevat de volgende subcategorieën:

Validatiebeleid voor auditreferenties uitvouwen

Het validatiebeleid voor auditreferenties bepaalt of het besturingssysteem (OS) controlegebeurtenissen genereert op referenties die worden verzonden voor een aanmeldingsaanvraag voor een gebruikersaccount. Deze gebeurtenissen vinden plaats op de computer die gezaghebbend is voor de inloggegevens, als volgt:

Voor domeinaccounts is de domeincontroller gezaghebbend.
Voor lokale accounts is de lokale computer gezaghebbend.

Omdat domeinaccounts veel vaker worden gebruikt dan lokale accounts in bedrijfsomgevingen, vinden de meeste accountaanmeldingsevenementen in een domeinomgeving plaats op de domeincontrollers die gezaghebbend zijn voor de domeinaccounts. Deze gebeurtenissen kunnen echter op elke computer plaatsvinden en kunnen optreden bij of op andere computers dan de aanmeldings- en afmeldingsgebeurtenissen.

Gebeurtenis-id	Gebeurtenisbericht
4774	Er is een account gekoppeld voor aanmelding.
4775	Een account kon niet worden gekoppeld voor aanmelding.
4776	De domeincontroller heeft geprobeerd de inloggegevens voor een account te valideren.
4777	De domeincontroller kan de referenties voor een account niet valideren.

Gebeurtenisvolume: Hoog op domeincontrollers.
Standaard voor clientversies: geen controle.
Standaard op Server-edities: Geslaagd.

Auditbeleid voor Kerberos-authenticatieservice uitbreiden

Het controlebeleid voor Kerberos Authentication Service bepaalt of controlegebeurtenissen worden gegenereerd wanneer een Kerberos-verificatieticket (TGT) wordt aangevraagd. Als deze instelling is ingeschakeld, kunnen beheerders kerberos-aanmeldingsactiviteiten controleren en potentiële beveiligingsproblemen met betrekking tot verificatieaanvragen detecteren.

Als u deze beleidsinstelling configureert, wordt er een controlegebeurtenis gegenereerd na een TGT-aanvraag voor Kerberos-verificatie. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen.

Gebeurtenis-id	Gebeurtenisbericht
4768	Er is een Kerberos-verificatieticket (TGT) aangevraagd.
4771	Kerberos-preverificatie is mislukt.
4772	Een Kerberos-verificatieticketaanvraag is mislukt.

Gebeurtenisvolume: Hoog op Kerberos Key Distribution Center-servers.
Standaard voor clientversies: geen controle.
Standaard op Server-edities: Geslaagd.

Controlebeleid van Kerberos service ticketoperaties uitbreiden

Het controlebeleid voor Kerberos Service Ticket Operations bepaalt of het besturingssysteem beveiligingscontrolegebeurtenissen registreert wanneer Kerberos-servicetickets worden aangevraagd of vernieuwd. Als u deze instelling inschakelt, kunnen beheerders kerberos-verificatieactiviteiten in de omgeving bewaken en bijhouden.

Gebeurtenissen worden gegenereerd wanneer Kerberos wordt gebruikt om een gebruiker te verifiëren die toegang wil krijgen tot een beveiligde netwerkresource. Controlegebeurtenissen voor Kerberos serviceticketbewerkingen kunnen worden gebruikt om gebruikersactiviteiten bij te houden.

Gebeurtenis-id	Gebeurtenisbericht
4769	Er is een Kerberos-serviceticket aangevraagd.
4770	Er is een Kerberos-serviceticket vernieuwd.

Gebeurtenisvolume: Hoog op een domeincontroller die zich in een KDC (Key Distribution Center) bevindt. Laag bij domeinleden.
Standaard: niet geconfigureerd.

Uitvouwen van controle van andere aanmeldingsgebeurtenissen voor accounts

Het beleid Aanmeldingsgebeurtenissen voor andere accounts controleren controleert gebeurtenissen die worden geactiveerd door reacties op referentieaanvragen voor aanmeldingen van gebruikersaccounts die geen standaardreferentievalidatie of Kerberos-ticketaanvragen zijn. Voorbeelden hiervan zijn:

Wanneer u een nieuwe extern bureaublad-sessie start en sessie-onderbrekingen ervaart.
Wanneer u een werkstation vergrendelt en ontgrendelt.
Wanneer u een schermbeveiliging aanroept of sluit.
Wanneer een Kerberos-replay-aanval wordt gedetecteerd, waarin een Kerberos-aanvraag met identieke informatie tweemaal is ontvangen.

Note

Deze situatie kan het gevolg zijn van een netwerkconfiguratieprobleem.
Wanneer u verbinding maakt met een draadloos netwerk of een bekabeld 802.1x-netwerk dat aan een gebruikersaccount of computeraccount is toegewezen

Gebeurtenis-id	Gebeurtenisbericht
4649	Er is een herhalingsaanval gedetecteerd.
4778	Een sessie is opnieuw verbonden met een Window Station.
4779	Een sessie is losgekoppeld van een vensterstation.
4800	Het werkstation is vergrendeld.
4801	Het werkstation is ontgrendeld.
4802	De schermbeveiliging is aangeroepen.
4803	De schermbeveiliging is uitgeschakeld.
5378	De aangevraagde delegatie van inloggegevens is niet toegestaan door het beleid.
5632	Er is een aanvraag gedaan om te verifiëren bij een draadloos netwerk.
5633	Er is een aanvraag gedaan om te verifiëren bij een bekabeld netwerk.

Standaard: geen controle.

Accountbeheer

De beveiligingscontrolebeleidsinstellingen in deze categorie kunnen worden gebruikt om wijzigingen in gebruikers- en computeraccounts en -groepen te controleren. Deze categorie bevat de volgende subcategorieën:

Beleid voor het beheer van toepassingsgroepen audit uitbreiden

Het groepsbeleid voor controletoepassingen bepaalt of het besturingssysteem controlegebeurtenissen registreert wanneer bepaalde acties worden uitgevoerd. Deze acties omvatten het maken, wijzigen of verwijderen van toepassingsgroepen en het wijzigen van hun lidmaatschap. Beheertaken voor toepassingsgroepen zijn onder andere:

Er wordt een toepassingsgroep gemaakt, gewijzigd of verwijderd.
Een lid wordt toegevoegd aan of verwijderd uit een toepassingsgroep.

Gebeurtenis-id	Gebeurtenisbericht
4783	Er is een basistoepassingsgroep gemaakt.
4784	Er is een basistoepassingsgroep gewijzigd.
4785	Er is een lid toegevoegd aan een basistoepassingsgroep.
4786	Een lid is verwijderd uit een basistoepassingsgroep.
4787	Er is een niet-lid toegevoegd aan een basistoepassingsgroep.
4788	Iemand die geen lid is, is verwijderd uit een basisapplicatiegroep.
4789	Er is een basistoepassingsgroep verwijderd.
4790	Er is een Lightweight Directory Access Protocol (LDAP)-querygroep gemaakt.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Beleid voor het beheer van computeraccounts uitbreiden

Het beleid Accountbeheer van de controlecomputer bepaalt of het besturingssysteem controlegebeurtenissen registreert wanneer een computeraccount wordt gemaakt, gewijzigd of verwijderd in Active Directory. Wanneer u dit beleid inschakelt, kunnen beheerders wijzigingen in computeraccounts binnen een domein bewaken en bijhouden. Waardevolle informatie voor beveiligingscontrole, naleving en het oplossen van problemen met accountbeheeractiviteiten wordt geleverd door deze gebeurtenissen te bewaken.

Gebeurtenis-id	Gebeurtenisbericht
4741	Er is een computeraccount gemaakt.
4742	Er is een computeraccount gewijzigd.
4743	Er is een computeraccount verwijderd.

Gebeurtenisvolume: Laag.
Standaard voor clientversies: geen controle.
Standaard op Server-edities: Geslaagd.

Uitvouwen beleid voor het beheer van auditedistributiegroepen

Het beleid Controledistributiegroepsbeheer bepaalt of het besturingssysteem controlegebeurtenissen genereert voor specifieke beheertaken voor distributiegroepen. Deze subcategorie waartoe dit beleid behoort, wordt alleen geregistreerd op domeincontrollers. Taken voor beheer van distributiegroepen die kunnen worden gecontroleerd, zijn onder andere:

Er wordt een distributiegroep gemaakt, gewijzigd of verwijderd.
Een lid wordt toegevoegd aan of verwijderd uit een distributiegroep.

Note

Distributiegroepen kunnen niet worden gebruikt om machtigingen voor toegangsbeheer te beheren.

Gebeurtenis-id	Gebeurtenisbericht
4744	Er is een lokale beveiligingsgroep met uitgeschakelde beveiliging gemaakt.
4745	Er is een lokale groep met uitgeschakelde beveiliging gewijzigd.
4746	Er is een lid toegevoegd aan een lokale groep die is uitgeschakeld voor beveiliging.
4747	Een lid is verwijderd uit een lokale groep met uitgeschakelde beveiliging.
4748	Er is een lokale groep met uitgeschakelde beveiliging verwijderd.
4749	Er is een globale groep met beveiligingsproblemen gemaakt.
4750	Een globale groep met uitgeschakelde beveiliging is gewijzigd.
4751	Er is een lid toegevoegd aan een beveiligingsuitgeschakelde wereldwijde groep.
4752	Een lid is verwijderd uit een globale groep die is uitgeschakeld voor beveiliging.
4753	Er is een globale groep met beveiligingsproblemen verwijderd.
4759	Er is een universele groep zonder beveiligingsinstellingen gemaakt.
4760	Een voor beveiliging uitgeschakelde universele groep is gewijzigd.
4761	Er is een lid toegevoegd aan een universele groep die is uitgeschakeld voor beveiliging.
4762	Een lid is verwijderd uit een universele groep die is uitgeschakeld voor beveiliging.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Beleid voor het controleren van andere accountbeheergebeurtenissen uitbreiden

Het beleid Andere accountbeheergebeurtenissen controleren bepaalt of het besturingssysteem auditgebeurtenissen voor gebruikersaccountbeheer genereert. Gebeurtenissen kunnen worden gegenereerd voor controle van gebruikersaccountbeheer wanneer:

De wachtwoord-hash van een account wordt geopend. Dit gebeurt meestal wanneer het Active Directory Migration Tool (ADMT) wachtwoordgegevens verplaatst.
De API (Password Policy Checking Application Programming Interface) wordt aangeroepen. Aanroepen naar deze functie kunnen deel uitmaken van een aanval van een schadelijke toepassing die test of beleidsinstellingen voor wachtwoordcomplexiteit worden toegepast.

Note

Deze gebeurtenissen worden geregistreerd wanneer het domeinbeleid wordt toegepast (bij vernieuwen of opnieuw opstarten), niet wanneer instellingen worden gewijzigd door een beheerder.

Wijzigingen in het domeinbeleid bevinden zich onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid\Wachtwoordbeleid of Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid\Accountvergrendelingsbeleid.

Gebeurtenis-id	Gebeurtenisbericht
4782	De wachtwoord-hash voor een account is geopend.
4793	De API voor wachtwoordbeleidscontrole is aangeroepen.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Uitbreiden beleid voor beheer van beveiligingsgroepen

Het Beleid voor Audit van Beveiligingsgroepsbeheer bepaalt of het besturingssysteem auditgebeurtenissen genereert bij het uitvoeren van specifieke beveiligingsgroepsbeheertaken. Taken voor beheer van beveiligingsgroepen zijn onder andere:

Er wordt een beveiligingsgroep gemaakt, gewijzigd of verwijderd.
Een lid wordt toegevoegd aan of verwijderd uit een beveiligingsgroep.
Het type van een groep wordt gewijzigd.

Beveiligingsgroepen kunnen worden gebruikt voor toegangsbeheermachtigingen en ook als distributielijsten.

Gebeurtenis-id	Gebeurtenisbericht
4727	Er is een wereldwijde groep met beveiligingsfunctie gemaakt.
4728	Er is een lid toegevoegd aan een globale groep waarvoor beveiliging is ingeschakeld.
4729	Een lid is verwijderd uit een globale groep waarvoor beveiliging is ingeschakeld.
4730	Een beveiligingsingeschakelde wereldwijde groep is verwijderd.
4731	Er is een lokale groep met beveiligingsfuncties gemaakt.
4732	Er is een lid toegevoegd aan een lokale groep waarvoor beveiliging is ingeschakeld.
4733	Een lid is verwijderd uit een lokale groep waarvoor beveiliging is ingeschakeld.
4734	Er is een beveiligings-geactiveerde lokale groep verwijderd.
4735	Er is een beveiligingsgeschikte lokale groep gewijzigd.
4737	Er is een globale groep met beveiligingsfuncties gewijzigd.
4754	Er is een universele beveiligingsgroep gemaakt.
4755	Een universele groep waarvoor beveiliging is ingeschakeld, is gewijzigd.
4756	Er is een lid toegevoegd aan een universele groep waarvoor beveiliging is ingeschakeld.
4757	Een lid is verwijderd uit een universele groep waarvoor beveiliging is ingeschakeld.
4758	Een beveiligingsingeschakelde universele groep is verwijderd.
4764	Het type van een groep is gewijzigd.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

Beheer van gebruikersaccountscontrole uitbreiden

De functie Audit User Account Management bepaalt of het besturingssysteem auditgebeurtenissen genereert wanneer specifieke beheertaken voor gebruikersaccounts worden uitgevoerd. Taken die worden gecontroleerd voor het beheer van gebruikersaccounts zijn onder andere:

Er wordt een gebruikersaccount gemaakt, gewijzigd, verwijderd, hernoemd, uitgeschakeld, ingeschakeld, vergrendeld of ontgrendeld.
Een wachtwoord voor een gebruikersaccount wordt ingesteld of gewijzigd.
Er wordt een SID-geschiedenis (Security Identifier) toegevoegd aan een gebruikersaccount.
Er is een wachtwoord voor de herstelmodus van Directory Services ingesteld.
Machtigingen worden gewijzigd voor accounts die lid zijn van beheerdersgroepen.
Referentiebeheer-credentials worden geback-upt of hersteld.

Deze beleidsinstelling is essentieel voor het bijhouden van gebeurtenissen die betrekking hebben op het inrichten en beheren van gebruikersaccounts.

Gebeurtenis-id	Gebeurtenisbericht
4720	Er is een gebruikersaccount gemaakt.
4722	Er is een gebruikersaccount ingeschakeld.
4723	Er is een poging gedaan om het wachtwoord van een account te wijzigen.
4724	Er is geprobeerd het wachtwoord van een account opnieuw in te stellen.
4725	Een gebruikersaccount is uitgeschakeld.
4726	Er is een gebruikersaccount verwijderd.
4738	Er is een gebruikersaccount gewijzigd.
4740	Een gebruikersaccount is vergrendeld.
4765	SID-geschiedenis is toegevoegd aan een account.
4766	Een poging om SID-geschiedenis toe te voegen aan een account is mislukt.
4767	Er is een gebruikersaccount ontgrendeld.
4780	De ACL is ingesteld op accounts die lid zijn van beheerdersgroepen.
4781	De naam van een account is gewijzigd.
4794	Er is een poging gedaan om de herstelmodus van Directory Services in te stellen.
5376	Er is een back-up gemaakt van referenties voor Referentiebeheer.
5377	Referentiebeheer inloggegevens zijn hersteld vanuit een back-up.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

gedetailleerde tracing

Gedetailleerde instellingen voor het traceren van beveiligingsbeleid en controlegebeurtenissen kunnen worden gebruikt om de activiteiten van afzonderlijke toepassingen en gebruikers op die computer te bewaken en om te begrijpen hoe een computer wordt gebruikt. Deze categorie bevat de volgende subcategorieën:

Uitvouwen auditbeleid voor DPAPI-activiteiten

Het beleid dpapi-activiteit controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer versleutelings- of ontsleutelingsaanroepen worden uitgevoerd in de APPLICATION INTERFACE (DPAPI) voor gegevensbescherming.

DPAPI wordt gebruikt voor het beveiligen van geheime informatie, zoals opgeslagen wachtwoorden en sleutelgegevens. Zie Windows-gegevensbescherming voor meer informatie.

Gebeurtenis-id	Gebeurtenisbericht
4692	Er is geprobeerd een back-up te maken van de hoofdsleutel voor gegevensbeveiliging.
4693	Herstel van de hoofdsleutel voor gegevensbeveiliging is geprobeerd.
4694	Er is geprobeerd om controlebare beveiligde gegevens te beveiligen.
4695	Er is geprobeerd de beveiliging van controleerbare beveiligde gegevens op te heffen.

Gebeurtenisvolume: Laag.

PNP-activiteitenbeleid uitvouwen

Het Audit PNP-activiteitsbeleid auditeert wanneer een extern plug-and-play (PnP) apparaat wordt gedetecteerd.

Gebeurtenis-id	Gebeurtenisbericht
6416	Er is een nieuw apparaat verbonden of een bestaand apparaat wordt verwijderd.

Gebeurtenisvolume: Laag.

Beleid voor het maken van controleprocessen uitvouwen

Het beleid voor het maken van controleprocessen bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een proces wordt gemaakt of gestart.

Met deze controlegebeurtenissen kunt u gebruikersactiviteiten bijhouden en begrijpen hoe een computer wordt gebruikt. Informatie bevat de naam van het programma of de gebruiker die het proces heeft gemaakt.

Gebeurtenis-id	Gebeurtenisbericht
4688	Er is een nieuw proces gemaakt.
4696	Er is een primair token toegewezen aan een proces.

Gebeurtenisvolume: varieert afhankelijk van het systeemgebruik.

Beleid voor beëindiging van controleproces uitvouwen

Het beleid voor het beëindigen van controleprocessen bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een poging wordt gedaan om een proces te beëindigen.

Gebeurtenis-id	Gebeurtenisbericht
4689	Er is een proces afgesloten.

Gebeurtenisvolume: varieert afhankelijk van het systeemgebruik.

Uitbreiden van beleid voor audit-RPC-gebeurtenissen

Het beleid Controle RPC-gebeurtenissen bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer binnenkomende RPC-verbindingen (Remote Procedure Call) worden gemaakt.

RPC is een technologie voor het maken van gedistribueerde client-/serverprogramma's. RPC is een communicatietechniek tussen processen waarmee client- en serversoftware kan communiceren. Zie Remote Procedure Call (RPC) voor meer informatie.

Gebeurtenis-id	Gebeurtenisbericht
5712	Er is een RPC geprobeerd.

Gebeurtenisvolume: Hoog op RPC-servers.
Standaard: geen controle.

Beleid voor uitbreiding van aanpassingsrechten van controletokens

Met het controletokenrechtaanpassingsbeleid worden gebeurtenissen gecontroleerd die worden gegenereerd door de bevoegdheden van een token aan te passen.

Gebeurtenis-id	Gebeurtenisbericht
4703	Een gebruikersrecht is aangepast.

Gebeurtenisvolume: Hoog.
Standaard: geen controle.

DS-toegang

DS Access-beveiligingscontrolebeleidsinstellingen bieden een gedetailleerd audittrail van pogingen om objecten in Active Directory Domain Services (AD DS) te openen en te wijzigen. Deze controlegebeurtenissen worden alleen geregistreerd op domeincontrollers. Deze categorie bevat de volgende subcategorieën:

Auditbeleid voor gedetailleerde replicatie van directorydiensten uitbreiden

Het beleid Gedetailleerde Directory Service-replicatie controleren bepaalt of het besturingssysteem controle-gebeurtenissen genereert die gedetailleerde traceringsinformatie bevatten over gegevens die tussen domeincontrollers worden gerepliceerd. Deze subcategorie voor controles kan handig zijn om replicatieproblemen vast te stellen.

Gebeurtenis-id	Gebeurtenisbericht
4928	Er is een naamgevingscontext voor active Directory-replicabronnen tot stand gebracht.
4929	Een naamgevingscontext voor een replicabron in Active Directory is verwijderd.
4930	Er is een naamgevingscontext voor active Directory-replicabronnen gewijzigd.
4931	Er is een naamgevingscontext voor Active Directory-replicabestemming gewijzigd.
4934	Kenmerken van een Active Directory-object zijn gerepliceerd.
4935	De replicatiefout begint.
4936	De replicatiefout eindigt.
4937	Een achtergebleven object is verwijderd uit een replica.

Gebeurtenisvolume: Hoog.
Standaard: geen controle.

Uitbreiden van het toegangsbeleid voor Audit Directory Service

Het beleid Audit Directory Service Access bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een object in Active Directory Domain Services (AD DS) wordt geopend. Deze gebeurtenissen zijn vergelijkbaar met de Directory Service Access-gebeurtenissen in eerdere versies van Windows Server-besturingssystemen.

Note

Controlegebeurtenissen worden alleen gegenereerd op objecten met geconfigureerde SACL's en alleen wanneer ze worden geopend op een manier die overeenkomt met de SACL-instellingen.

Gebeurtenis-id	Gebeurtenisbericht
4662	Er is een bewerking uitgevoerd op een object.

Gebeurtenisvolume: Hoog op domeincontrollers. Geen op clientcomputers.
Standaard voor clientversies: geen controle.
Standaard op Server-edities: Geslaagd.

Beleidswijzigingen voor controle van de directoryservice uitbreiden

Het beleid Wijzigingen in de auditdirectoryservice bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer wijzigingen worden aangebracht in objecten in AD DS. Dit beleid geeft, indien van toepassing, de oude en nieuwe waarden aan van de gewijzigde eigenschappen van de objecten die zijn gewijzigd. De typen wijzigingen die worden gerapporteerd, zijn:

Create
Delete
Modify
Move
Undelete

Note

Controlegebeurtenissen worden alleen gegenereerd voor objecten met geconfigureerde SACL's en alleen wanneer ze worden geopend op een manier die overeenkomt met hun SACL-instellingen. Sommige objecten en eigenschappen zorgen er niet voor dat controlegebeurtenissen worden gegenereerd vanwege instellingen in de objectklasse in het schema.

Met deze subcategorie worden alleen gebeurtenissen op domeincontrollers geregistreerd. Wijzigingen in Active Directory-objecten zijn belangrijke gebeurtenissen die moeten worden bijgehouden om inzicht te krijgen in de status van het netwerkbeleid.

Gebeurtenis-id	Gebeurtenisbericht
5136	Er is een adreslijstserviceobject gewijzigd.
5137	Er is een adreslijstserviceobject gemaakt.
5138	Een adreslijstserviceobject is ongedaan gemaakt.
5139	Er is een adreslijstserviceobject verplaatst.
5141	Er is een adreslijstserviceobject verwijderd.

Gebeurtenisvolume: alleen hoog op domeincontrollers.
Standaard: geen controle.

Audit Directory Service Replicatiebeleid uitbreiden

Het Controle Directory Service-replicatie beleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer de replicatie tussen twee domeincontrollers begint en eindigt. Gebeurtenissen in deze subcategorie worden alleen geregistreerd op domeincontrollers.

Gebeurtenis-id	Gebeurtenisbericht
4932	Synchronisatie van een replica van een Active Directory-naamgevingscontext is gestart.
4933	Synchronisatie van een replica van een Active Directory-naamgevingscontext is beëindigd.

Gebeurtenisvolume: gemiddeld op domeincontrollers. Geen op clientcomputers.
Standaard: geen controle.

Logon/Logoff

Met instellingen voor aanmeldings-/afmeldingsbeveiligingsbeleid en controlegebeurtenissen kunt u pogingen bijhouden om zich interactief of via een netwerk aan te melden bij een computer. Deze gebeurtenissen zijn handig voor het bijhouden van gebruikersactiviteiten en het identificeren van mogelijke aanvallen op netwerkresources. Deze categorie bevat de volgende subcategorieën:

Uitvouwen Controlebeleid Accountvergrendeling

Met het beleid Accountvergrendeling controleren kunt u beveiligingsgebeurtenissen controleren die worden gegenereerd door een mislukte poging om u aan te melden bij een account dat is vergrendeld. Als u deze beleidsinstelling configureert, wordt er een controlegebeurtenis gegenereerd wanneer een account zich niet kan aanmelden bij een computer omdat het account is vergrendeld. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen.

Accountvergrendelingsevenementen zijn essentieel voor het begrijpen van gebruikersactiviteit en het detecteren van mogelijke aanvallen.

Gebeurtenis-id	Gebeurtenisbericht
4625	Er is een fout opgetreden bij het inloggen van een account.

Gebeurtenisvolume: Laag.
Standaardinstelling: Geslaagd.

Audit gebruiker/apparaatclaims uitbreiden

Met het beleid Audit Gebruiker/Apparaatclaims kunt u informatie over gebruikers- en apparaatclaims auditen in het logontoken van het account. Gebeurtenissen in deze subcategorie worden gegenereerd op de computer waarop een aanmeldingssessie wordt gemaakt. Voor een interactieve aanmelding wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer waarop de gebruiker zich heeft aangemeld. U moet de subcategorie Audit Logon inschakelen om gebeurtenissen uit deze subcategorie te ontvangen.

Voor een netwerkaanmelding, zoals het openen van een gedeelde map in het netwerk, wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer die als host fungeert voor de resource.

Gebeurtenis-id	Gebeurtenisbericht
4626	Informatie over gebruikers-/apparaatclaims.

Gebeurtenisvolume: Laag op een clientcomputer. Gemiddeld op een domeincontroller of een netwerkserver
Standaard: geen controle.

Uitvouwen beleidsregels voor audit groepslidmaatschap

Met het beleid Groepslidmaatschap controleren kunt u de gegevens van het groepslidmaatschap controleren in het aanmeldingstoken van de gebruiker. Gebeurtenissen in deze subcategorie worden gegenereerd op de computer waarop een aanmeldingssessie wordt gemaakt. U moet ook de subcategorie Auditaanmelding inschakelen.

Voor een interactieve aanmelding wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer waarop de gebruiker zich heeft aangemeld. Voor een netwerkaanmelding, zoals het openen van een gedeelde map in het netwerk, wordt de beveiligingscontrolegebeurtenis gegenereerd op de computer die als host fungeert voor de resource.

Gebeurtenis-id	Gebeurtenisbericht
4627	Informatie over groepslidmaatschap.

Gebeurtenisvolume: Laag op een clientcomputer. Gemiddeld op een domeincontroller of een netwerkserver.
Standaard: geen controle.

Audit IPsec-beleid voor uitgebreide modus uitbreiden

Het beleid Audit IPsec uitgebreide modus bepaalt of het besturingssysteem auditgebeurtenissen genereert voor de resultaten van het Internet Key Exchange-protocol (IKE) en Geauthenticeerd Internet Protocol (AuthIP) tijdens onderhandelingen in uitgebreide modus.

IKE is een internetstandaard, gedefinieerd in RFC 2409, die een mechanisme definieert voor het tot stand brengen van IPsec-beveiligingskoppelingen. Een beveiligingskoppeling is een combinatie van een wederzijds overeenkomend beleid en sleutels die de beveiligingsservices en mechanismen definiëren die de communicatie tussen IPsec-peers helpen beschermen.

AuthIP is een verbeterde versie van IKE die extra flexibiliteit biedt, waaronder ondersteuning voor verificatie op basis van gebruikers en verificatie met meerdere referenties. Het biedt ook verbeterde onderhandeling over verificatiemethoden en biedt ondersteuning voor asymmetrische verificatie. Net als IKE biedt AuthIP ondersteuning voor de hoofdmodus en snelle-modusonderhandeling. AuthIP ondersteunt ook de uitgebreide modus, een onderdeel van IPsec-peeronderhandeling waarbij een tweede verificatieronde kan worden uitgevoerd. Uitgebreide modus, optioneel, kan worden gebruikt voor meerdere verificaties. Met de uitgebreide modus kunt u bijvoorbeeld afzonderlijke verificaties op basis van computers en gebruikers uitvoeren.

Gebeurtenis-id	Gebeurtenisbericht
4978	Tijdens de uitgebreide-modusonderhandeling heeft IPsec een ongeldig onderhandelingspakket ontvangen. Als dit probleem zich blijft voordoen, kan dit duiden op een netwerkprobleem of een poging om deze onderhandeling te wijzigen of opnieuw af te spelen.
4979	Beveiligingskoppelingen voor IPsec-hoofdmodus en uitgebreide modus zijn tot stand gebracht. Deze gebeurtenis bevat gebeurtenisgegevens in de volgende categorieën: Lokaal eindpunt van de hoofdmodus, extern eindpunt van de hoofdmodus, cryptografische informatie in de hoofdmodus, de beveiligingskoppeling van de hoofdmodus, aanvullende informatie over de hoofdmodus en uitgebreide modusgegevens.
4980	Beveiligingskoppelingen voor IPsec-hoofdmodus en uitgebreide modus zijn tot stand gebracht. Deze gebeurtenis biedt controlegegevens voor gebeurtenissen in de volgende categorieën: Lokaal eindpunt van de hoofdmodus, extern eindpunt van de hoofdmodus. Cryptografische informatie in de hoofdmodus, beveiligingskoppeling in de hoofdmodus, aanvullende informatie over de hoofdmodus, lokaal eindpunt in de uitgebreide modus, extern eindpunt in de uitgebreide modus en aanvullende informatie over de uitgebreide modus.
4981	Beveiligingskoppelingen voor IPsec-hoofdmodus en uitgebreide modus zijn tot stand gebracht. Deze gebeurtenis bevat controlegegevens voor gebeurtenissen in de volgende categorieën: Lokaal eindpunt, lokaal certificaat, extern eindpunt, extern certificaat, cryptografische informatie, beveiligingskoppelingsgegevens, aanvullende informatie en uitgebreide modus-informatie.
4982	Beveiligingskoppelingen voor IPsec-hoofdmodus en uitgebreide modus zijn tot stand gebracht. Deze gebeurtenis bevat controlegegevens voor gebeurtenissen in de volgende categorieën: Lokaal eindpunt, lokaal certificaat, extern eindpunt, extern certificaat, cryptografische informatie, beveiligingskoppelingsgegevens, aanvullende informatie, lokaal eindpunt voor uitgebreide modus, extern eindpunt voor uitgebreide modus en uitgebreide modus Aanvullende informatie.
4983	Een IPsec Extended Mode-onderhandeling is mislukt. De bijbehorende beveiligingskoppeling voor de hoofdmodus is verwijderd. Deze gebeurtenis bevat controlegegevens voor gebeurtenissen in de volgende categorieën: Lokaal eindpunt, lokaal certificaat, extern eindpunt, extern certificaat en foutinformatie.
4984	Een IPsec Extended Mode-onderhandeling is mislukt. De bijbehorende beveiligingskoppeling voor de hoofdmodus is verwijderd. Deze gebeurtenis bevat controlegegevens voor gebeurtenissen in de volgende categorieën: Lokaal eindpunt, Extern eindpunt, Aanvullende informatie en Foutinformatie.

Gebeurtenisvolume: Hoog.
Standaard: geen controle.

IPsec-hoofdmodusbeleid auditeren en uitvouwen

Het controle-IPsec-hoofdmodusbeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert voor de resultaten van het IKE-protocol en AuthIP tijdens de onderhandelingen over de snelle modus. Net als IKE biedt AuthIP ondersteuning voor de hoofdmodus en snelle modusonderhandeling.

IkE-onderhandeling in de hoofdmodus brengt een beveiligd kanaal tot stand, ook wel bekend als de ISAKMP-beveiligingskoppeling (Internet Security Association and Key Management Protocol), tussen twee computers. Om het beveiligde kanaal tot stand te brengen, bepaalt de main mode-onderhandeling een set cryptografische beveiligingssuites, wisselt sleutelmateriaal uit om de gedeelde geheime sleutel tot stand te brengen en verifieert computeridentiteiten.

Gebeurtenis-id	Gebeurtenisbericht
4646	Beveiligings-id: %1.
4650	Er is een IPsec hoofdmodus-veiligheidsassociatie tot stand gebracht. De uitgebreide modus is niet ingeschakeld. Certificaatverificatie is niet gebruikt.
4651	Er is een IPsec hoofdmodus-veiligheidsassociatie tot stand gebracht. De uitgebreide modus is niet ingeschakeld. Er is een certificaat gebruikt voor verificatie.
4652	Een IPsec Main Mode-onderhandeling is mislukt. Deze controlegebeurtenis retourneert gedetailleerde controlegegevens in de volgende categorieën: Lokaal eindpunt, lokaal certificaat, extern eindpunt, extern certificaat, aanvullende informatie en foutinformatie.
4653	Een IPsec Main Mode-onderhandeling is mislukt. Deze controlegebeurtenis retourneert gedetailleerde controlegegevens in de volgende categorieën: Lokaal eindpunt, Extern eindpunt, Aanvullende informatie en Foutinformatie.
4655	Een IPsec Main Mode-beveiligingskoppeling is beëindigd.
4976	Tijdens de onderhandeling in de hoofdmodus heeft IPsec een ongeldig onderhandelingspakket ontvangen. Als dit probleem zich blijft voordoen, kan dit duiden op een netwerkprobleem of een poging om deze onderhandeling te wijzigen of opnieuw af te spelen.
5049	Er is een IPsec-beveiligingsassociatie verwijderd.
5453	Een IPsec-onderhandeling met een externe computer is mislukt omdat de IKE- en AuthIP IPsec Keying Modules-service (IKEEXT) niet is gestart.

Gebeurtenisvolume: Hoog.
Standaard: geen controle.

Audit IPsec-snellaadmodusbeleid uitbreiden

Het IPsec Snelle Modus Audit-beleid bepaalt of het besturingssysteem auditgebeurtenissen genereert voor de resultaten van het IKE-protocol en AuthIP tijdens de onderhandelingen over de Snelle modus. Net als IKE biedt AuthIP ondersteuning voor de hoofdmodus en snelle modusonderhandeling.

Snelle modus (ook wel fase 2 genoemd) IKE-onderhandeling brengt een beveiligd kanaal tot stand tussen twee computers om gegevens te beveiligen. In Snelle modus worden IPsec-beveiligingsassociaties gecreëerd. Dit zijn overeenkomsten tussen computers over hoe netwerkverkeer moet worden beschermd. Deze koppelingen worden onderhandeld door de IPsec-service.

Tijdens de snelle modus wordt sleutelmateriaal vernieuwd of, indien nodig, nieuwe sleutels gegenereerd. Er wordt ook een beveiligingspakket geselecteerd dat opgegeven IP-verkeer beveiligt. Een beveiligingspakket is een gedefinieerde set instellingen voor gegevensintegriteit of gegevensversleuteling. Snelle modus wordt niet beschouwd als een volledige uitwisseling, omdat deze afhankelijk is van een uitwisseling in de hoofdmodus.

Gebeurtenis-id	Gebeurtenisbericht
4977	Tijdens de quick mode-onderhandeling heeft IPsec een ongeldig onderhandelingspakket ontvangen. Als dit probleem zich blijft voordoen, kan dit duiden op een netwerkprobleem of een poging om deze onderhandeling te wijzigen of opnieuw af te spelen.
5451	Er is een IPsec Quick Mode-beveiligingsverbinding tot stand gebracht.
5452	Een beveiligingskoppeling voor IPsec Quick Mode is beëindigd.

Gebeurtenisvolume: Hoog.
Standaard: geen controle.

Breid het afmeldingsbeleid uit voor audit

Het controleaanmeldingsbeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer aanmeldingssessies worden beëindigd. Deze gebeurtenissen vinden plaats op de computer die is geopend. Wanneer er een interactieve aanmelding plaatsvindt, worden deze gebeurtenissen gegenereerd op de computer waarop is aangemeld.

Note

Er is geen foutgebeurtenis in deze subcategorie omdat mislukte aanmeldingen (bijvoorbeeld wanneer een systeem plotseling wordt afgesloten) geen controlerecord genereren.

Aanmeldingsevenementen zijn essentieel voor het begrijpen van gebruikersactiviteit en het detecteren van mogelijke aanvallen. Afmeldingsevenementen zijn niet 100 procent betrouwbaar. De computer kan bijvoorbeeld worden uitgeschakeld zonder een juiste afmelding en afsluiten; in dit geval wordt er geen afmeldingsevenement gegenereerd.

Gebeurtenis-id	Gebeurtenisbericht
4634	Er is een account afgemeld.
4647	Afmelding geïnitieerd door de gebruiker.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

Aanmeldingsbeleid voor audit uitvouwen

Het beleid Aanmelding controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een gebruiker zich probeert aan te melden bij een computer.

Deze gebeurtenissen zijn gerelateerd aan het maken van aanmeldingssessies en vinden plaats op de computer die is geopend. Voor een interactieve aanmelding worden gebeurtenissen gegenereerd op de computer waarop is aangemeld. Voor een netwerkaanmelding, zoals het openen van een share, worden gebeurtenissen gegenereerd op de computer die als host fungeert voor de resource die is geopend. Aanmeldingsevenementen zijn essentieel voor het bijhouden van gebruikersactiviteiten en het detecteren van mogelijke aanvallen. De volgende gebeurtenissen worden vastgelegd:

Aanmeldingssucces en -mislukkingen.
Aanmeldingspogingen met behulp van expliciete inloggegevens. Deze gebeurtenis wordt gegenereerd wanneer een proces zich probeert aan te melden bij een account door expliciet de referenties van dat account op te geven. Dit gebeurt meestal in batchconfiguraties, zoals geplande taken of wanneer u de runas opdracht gebruikt.

Gebeurtenis-id	Gebeurtenisbericht
4624	Er is succesvol een account ingelogd.
4625	Er is een fout opgetreden bij het inloggen van een account.
4648	Er is geprobeerd om zich aan te melden met het gebruik van expliciete inloggegevens.
4675	SID's zijn gefilterd.

Gebeurtenisvolume: Laag op een clientcomputer. Gemiddeld op een domeincontroller of netwerkserver.
Standaard: geslaagd voor clientcomputers. Geslaagd en mislukt voor servers.

Netwerkbeleidsserverbeleid controleren uitvouwen

Het beleid Netwerkbeleidserver controleren bepaalt of het besturingssysteem auditgebeurtenissen aanmaakt voor RADIUS- (IAS) en NAP-activiteit (Network Access Protection) bij gebruikersaanvragen. Deze aanvragen zijn:

Grant
Deny
Discard
Quarantine
Lock
Unlock

NAP-gebeurtenissen kunnen worden gebruikt om inzicht te verkrijgen in de algehele status van het netwerk.

Gebeurtenis-id	Gebeurtenisbericht
6272	Network Policy Server heeft een gebruiker toegang verleend.
6273	Network Policy Server heeft de toegang tot een gebruiker geweigerd.
6274	Network Policy Server heeft de aanvraag voor een gebruiker genegeerd.
6275	Network Policy Server heeft de boekhoudaanvraag voor een gebruiker verwijderd.
6276	Network Policy Server heeft een gebruiker in quarantaine geplaatst.
6277	Network Policy Server heeft toegang verleend aan een gebruiker, maar deze op proef gesteld omdat de host niet voldoet aan het gedefinieerde statusbeleid.
6278	Network Policy Server heeft volledige toegang verleend aan een gebruiker omdat de host voldoet aan het gedefinieerde statusbeleid.
6279	Network Policy Server heeft het gebruikersaccount vergrendeld vanwege herhaalde mislukte verificatiepogingen.
6280	De netwerkbeleidsserver heeft het gebruikersaccount ontgrendeld.

Gebeurtenisvolume: gemiddeld of hoog op NPS- en IAS-servers. Beheer op andere servers of op clientcomputers.
Standaard: geslaagd en mislukt.

Breid het beleid voor Audit Andere Logboek-/Uitloggebeurtenissen uit

Het beleid Andere aanmeldings-/ afmeldingsgebeurtenissen controleren bepaalt of Windows controlegebeurtenissen genereert voor andere aanmeldings- of afmeldingsgebeurtenissen. Deze andere aanmeldings- of afmeldingsevenementen zijn:

Een Extern bureaublad-sessie maakt verbinding of verbreekt de verbinding.
Een werkstation is vergrendeld of ontgrendeld.
Er wordt een schermbeveiliging geactiveerd of gesloten.
Er wordt een herhalingsaanval gedetecteerd. Deze gebeurtenis geeft aan dat een Kerberos-aanvraag tweemaal met identieke informatie is ontvangen. Een onjuiste netwerkconfiguratie kan dit ook veroorzaken.
Een gebruiker krijgt toegang tot een draadloos netwerk. Het kan een gebruikersaccount of het computeraccount zijn.
Een gebruiker krijgt toegang tot een bekabeld 802.1x-netwerk. Het kan een gebruikersaccount of het computeraccount zijn.

Gebeurtenis-id	Gebeurtenisbericht
4649	Er is een herhalingsaanval gedetecteerd.
4778	Een sessie is opnieuw verbonden met een Window Station.
4779	Een sessie is losgekoppeld van een vensterstation.
4800	Het werkstation is vergrendeld.
4801	Het werkstation is ontgrendeld.
4802	De schermbeveiliging is aangeroepen.
4803	De schermbeveiliging is uitgeschakeld.
5378	De aangevraagde delegatie van referenties is niet toegestaan volgens het beleid.
5632	Er is een aanvraag gedaan om te verifiëren bij een draadloos netwerk.
5633	Er is een aanvraag gedaan om te verifiëren bij een bekabeld netwerk.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Breid het speciale aanmeldingsbeleid voor audits uit

Het beleid Audit Speciale Aanmelding bepaalt of het besturingssysteem auditgebeurtenissen genereert onder bijzondere inlogsituaties. Met deze beveiligingsbeleidsinstelling wordt bepaald of het besturingssysteem controlegebeurtenissen genereert wanneer:

Er wordt speciale inloggen gebruikt. Een speciale aanmelding is een aanmelding met administrator-equivalente bevoegdheden en kan worden gebruikt om een proces naar een hoger niveau te verhogen.
Een lid van een speciale groep meldt zich aan. Speciale groepen is een Windows-functie waarmee de beheerder kan achterhalen wanneer een lid van een bepaalde groep is aangemeld. De beheerder kan een lijst met groepsbeveiligings-id's (SID's) instellen in het register. Als een van deze SID's wordt toegevoegd aan een token tijdens het aanmelden en deze subcategorie voor controle is ingeschakeld, wordt een beveiligingsgebeurtenis geregistreerd.

Gebruikers met speciale bevoegdheden kunnen mogelijk wijzigingen aanbrengen in het systeem. U wordt aangeraden hun activiteit bij te houden.

Gebeurtenis-id	Gebeurtenisbericht
4964	Er zijn speciale groepen toegewezen aan een nieuwe inloggen.

Gebeurtenisvolume: Laag
Standaard: Geslaagd

objecttoegang

Met objecttoegangsbeleidsinstellingen en controlegebeurtenissen kunt u pogingen bijhouden om toegang te krijgen tot specifieke objecten of typen objecten op een netwerk of computer. Als u pogingen wilt controleren om toegang te krijgen tot een bestand, map, registersleutel of een ander object, moet u de juiste subcategorie objecttoegang controleren voor geslaagde en/of mislukte gebeurtenissen inschakelen. De subcategorie Bestandssysteem moet bijvoorbeeld zijn ingeschakeld om bestandsbewerkingen te controleren en de subcategorie Register moet zijn ingeschakeld om toegang tot het register te controleren. Deze categorie bevat de volgende subcategorieën:

Gegenereerd beleid voor controletoepassing uitvouwen

Het door de controletoepassing gegenereerde beleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer toepassingen proberen de Windows Auditing Application Programming Interfaces (API's) te gebruiken.

Met de volgende gebeurtenissen kunt u controleactiviteit genereren:

Een toepassingsclientcontext maken, verwijderen of initialiseren
Toepassingsbewerkingen

Toepassingen die zijn ontworpen om de Windows Auditing-API's te gebruiken, kunnen deze subcategorie gebruiken om controlegebeurtenissen te registreren die zijn gerelateerd aan deze API's. Het niveau, het volume, de relevantie en het belang van deze controlegebeurtenissen zijn afhankelijk van de toepassing die ze genereert. Het besturingssysteem registreert de gebeurtenissen terwijl deze worden gegenereerd door de toepassing.

Gebeurtenis-id	Gebeurtenisbericht
4665	Er is een poging gedaan om een toepassingsclientcontext te maken.
4666	Een toepassing heeft geprobeerd een bewerking uit te voeren.
4667	Er is een toepassingsclientcontext verwijderd.
4668	Er is een toepassing geïnitialiseerd.

Gebeurtenisvolume: varieert op basis van het gebruik van Windows Auditing van de geïnstalleerde toepassing

Audit Certification Services-beleid uitvouwen

Het beleid Audit Certification Services bepaalt of het besturingssysteem gebeurtenissen genereert wanneer Active Directory Certificate Services -bewerkingen (AD CS) worden uitgevoerd. Het bewaken van deze operationele gebeurtenissen is belangrijk om ervoor te zorgen dat AD CS-functieservices goed functioneren. Voorbeelden van AD CS-bewerkingen zijn:

AD CS wordt gestart, afgesloten, er wordt een back-up van gemaakt, of hersteld.
Er worden taken uitgevoerd die verband houden met de CRL (Certificaatintrekkingslijst).
Certificaten worden aangevraagd, uitgegeven of ingetrokken.
Instellingen voor certificaatbeheer voor AD CS worden gewijzigd.
De configuratie en eigenschappen van de certificeringsinstantie (CA) worden gewijzigd.
AD CS-sjablonen worden gewijzigd.
Certificaten worden geïmporteerd.
Er wordt een CA-certificaat gepubliceerd in Active Directory Domain Services.
Beveiligingsmachtigingen voor AD CS-functieservices worden gewijzigd.
Sleutels worden gearchiveerd, geïmporteerd of opgehaald.
De OCSP Responder-service wordt gestart of gestopt.

Gebeurtenis-id	Gebeurtenisbericht
4868	De certificaatbeheerder heeft een certificaataanvraag geweigerd die in behandeling is.
4869	Certificate Services heeft een certificaataanvraag ontvangen die opnieuw is verzonden.
4870	Certificate Services heeft een certificaat ingetrokken.
4871	Certificate Services heeft een aanvraag ontvangen om de certificaatintrekkingslijst (CRL) te publiceren.
4872	Certificate Services heeft de certificaatintrekkingslijst (CRL) gepubliceerd.
4873	Een certificaataanvraagextensie is gewijzigd.
4874	Een of meer certificaataanvraagkenmerken zijn gewijzigd.
4875	Certificate Services heeft een aanvraag ontvangen om af te sluiten.
4876	De back-up van Certificate Services is gestart.
4877	De back-up van Certificate Services is voltooid.
4878	Het herstellen van Certificate Services is gestart.
4879	Het herstellen van Certificate Services is voltooid.
4880	Certificate Services is gestart.
4881	De certificaatservices zijn gestopt.
4882	De beveiligingsmachtigingen voor Certificate Services zijn gewijzigd.
4883	Certificate Services heeft een gearchiveerde sleutel opgehaald.
4884	Certificate Services heeft een certificaat geïmporteerd in de database.
4885	Het controlefilter voor Certificate Services is gewijzigd.
4886	Certificate Services heeft een certificaataanvraag ontvangen.
4887	Certificate Services heeft een certificaataanvraag goedgekeurd en een certificaat uitgegeven.
4888	Certificate Services heeft een certificaataanvraag geweigerd.
4889	Certificate Services stelt de status van een certificaataanvraag in op In behandeling.
4890	De certificaatbeheerinstellingen voor Certificate Services zijn gewijzigd.
4891	Een configuratievermelding is gewijzigd in Certificate Services.
4892	Een eigenschap van Certificate Services is gewijzigd.
4893	Certificate Services heeft een sleutel gearchiveerd.
4894	Certificate Services heeft een sleutel geïmporteerd en gearchiveerd.
4895	Certificate Services heeft het CA-certificaat gepubliceerd naar Active Directory Domain Services.
4896	Een of meer rijen zijn verwijderd uit de certificaatdatabase.
4897	Functiescheiding ingeschakeld.
4898	Certificate Services heeft een sjabloon geladen.

Gebeurtenisvolume: gemiddeld of laag op servers waarop AD CS-services worden gehost

Gedetailleerde bestandssharebeleid voor controle uitvouwen

Met het beleid Gedetailleerde bestandsshare controleren kunt u pogingen controleren om toegang te krijgen tot bestanden en mappen in een gedeelde map. De instelling Gedetailleerde bestandsshare registreert een gebeurtenis telkens wanneer een bestand of map wordt geopend, terwijl de instelling bestandsshare slechts één gebeurtenis registreert voor elke verbinding die tot stand is gebracht tussen een clientcomputer en bestandsshare. Gedetailleerde auditgebeurtenissen voor bestandsshares bevatten gedetailleerde informatie over de machtigingen of andere criteria die worden gebruikt om toegang te verlenen of te weigeren.

Note

Gedeelde mappen hebben geen SACL's. Wanneer u deze beleidsinstelling inschakelt, wordt alle toegang tot gedeelde bestanden en mappen op het systeem gecontroleerd.

Gebeurtenis-id	Gebeurtenisbericht
5145	Er is een netwerkshareobject gecontroleerd om te zien of de client de gewenste toegang kan krijgen.

Gebeurtenisvolume: Hoog op een bestandsserver of domeincontroller vanwege sysvol-netwerktoegang vereist door groepsbeleid

Beleid voor bestandsshares controleren uitvouwen

Het beleid Bestandsshare controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een bestandsshare wordt geopend. Controlegebeurtenissen worden niet gegenereerd wanneer shares worden gemaakt, verwijderd of wanneer machtigingen voor delen worden gewijzigd. In combinatie met bestandssysteemcontrole kunt u met bestandssharecontrole bijhouden welke inhoud is geopend, de bron (IP-adres en poort) van de aanvraag en het gebruikersaccount dat voor de toegang is gebruikt.

Note

Er zijn geen SACL's voor shares; Daarom wordt nadat deze instelling is ingeschakeld, de toegang tot alle shares op het systeem gecontroleerd.

Gebeurtenis-id	Gebeurtenisbericht
5140	Er is een netwerkshareobject geopend. Deze gebeurtenis wordt geregistreerd op computers met Windows Server 2008 R2, Windows Server 2008, Windows 7 of Windows Vista.
5142	Er is een netwerkshareobject toegevoegd.
5143	Er is een netwerkshareobject gewijzigd.
5144	Er is een netwerkshareobject verwijderd.
5168	SPN-controle op SMB/SMB2 is mislukt.

Gebeurtenisvolume: Hoog op een bestandsserver of domeincontroller vanwege SYSVOL-netwerktoegang die is vereist voor Groepsbeleid.

Breid het beleid voor het auditbestandssysteem uit

Het controlebestandssysteembeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer gebruikers toegang proberen te krijgen tot bestandssysteemobjecten. Controlegebeurtenissen worden alleen gegenereerd voor objecten die SACL's hebben geconfigureerd en alleen als het aangevraagde type toegang (zoals Schrijven, Lezen of Wijzigen) en het account dat de aanvraag indient, overeenkomt met de instellingen in de SACL.

Als geslaagde controle is ingeschakeld, wordt er telkens wanneer een account toegang heeft tot een bestandssysteemobject met een overeenkomende SACL, een controlevermelding gegenereerd. Als foutcontrole is ingeschakeld, wordt er telkens een controlevermelding gegenereerd wanneer een gebruiker niet probeert toegang te krijgen tot een bestandssysteemobject met een overeenkomende SACL. Deze gebeurtenissen zijn essentieel voor het bijhouden van activiteiten voor bestandsobjecten die gevoelig of waardevol zijn en extra bewaking vereisen.

Gebeurtenis-id	Gebeurtenisbericht
4664	Er is een poging gedaan om een harde koppeling te maken.
4985	De status van een transactie is gewijzigd.
5051	Er is een bestand gevirtualiseerd.

Gebeurtenisvolume: varieert afhankelijk van hoe SACL's van het bestandssysteem zijn geconfigureerd.

Controlefilterplatformverbindingsbeleid uitvouwen

Het controlefilterplatformverbindingsbeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer verbindingen zijn toegestaan of geblokkeerd door het Windows-filterplatform. Windows Filtering Platform (WFP) is geïntroduceerd in Windows Server 2008 en Windows Vista. Hiermee kunnen onafhankelijke softwareleveranciers (ISV's) TCP/IP-pakketten filteren en wijzigen, verbindingen bewaken of autoriseren, IPsec-beveiliging (Internet Protocol Security) filteren en RPC's filteren. Met dit beveiligingsbeleid kunt u de volgende typen acties controleren:

De Windows Firewall-service blokkeert dat een toepassing binnenkomende verbindingen in het netwerk accepteert.
Met het Windows-filterplatform kan een verbinding worden toegestaan of geblokkeerd.
Het Windows-filterplatform staat een binding met een lokale poort toe of blokkeert deze.
Het Windows-filterplatform staat toe of blokkeert dat een toepassing of service luistert naar binnenkomende verbindingen op een poort.

Gebeurtenis-id	Gebeurtenisbericht
5031	De Windows Firewall-service heeft een toepassing geblokkeerd voor het accepteren van binnenkomende verbindingen in het netwerk.
5140	Er is een netwerkshareobject geopend. Deze gebeurtenis wordt alleen geregistreerd op computers waarop de ondersteunde versies van het Windows-besturingssysteem worden uitgevoerd, zoals aangegeven in de lijst Van toepassing op.
5150	Het Windows Filtering Platform heeft een pakket geblokkeerd.
5151	Een meer beperkend Windows Filtering Platform-filter heeft een pakket geblokkeerd.
5154	Het Windows-filterplatform heeft een toepassing of service toegestaan om te luisteren op een poort voor binnenkomende verbindingen.
5155	Het Windows-filterplatform heeft voorkomen dat een toepassing of service op een poort luistert voor binnenkomende verbindingen.
5156	Het Windows-filterplatform heeft een verbinding toegestaan.
5157	Het Windows-filterplatform heeft een verbinding geblokkeerd.
5158	Het Windows-filterplatform heeft een binding met een lokale poort toegestaan.
5159	Het Windows-filterplatform heeft een binding met een lokale poort geblokkeerd.

Gebeurtenisvolume: Hoog.

Audit Filtering Platform Packet Drop beleid uitbreiden

Het beleid Audit-filterplatform pakketdaling bepaalt of het besturingssysteem auditevenementen genereert wanneer pakketten door het Windows-filterplatform worden gedropt. Windows Filtering Platform (WFP) is geïntroduceerd in Windows Server 2008 en Windows Vista. Met WFP kunnen onafhankelijke softwareleveranciers (ISV's) TCP/IP-pakketten filteren en wijzigen, verbindingen bewaken of autoriseren, IPsec-beveiliging (Internet Protocol Security) filteren en RPC's filteren. Een hoog aantal verwijderde pakketten kan erop wijzen dat er pogingen zijn gedaan om onbevoegde toegang te krijgen tot computers in uw netwerk.

Gebeurtenis-id	Gebeurtenisbericht
5152	Het Windows Filtering Platform heeft een pakket geblokkeerd.
5153	Een meer beperkend Windows Filtering Platform-filter heeft een pakket geblokkeerd.

Gebeurtenisvolume: Hoog.

Beleid voor het bewerken van controlegrepen uitvouwen

Het controlehandgreepmanipulatiebeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer een ingang voor een object wordt geopend of gesloten. Alleen objecten met geconfigureerde SACL's genereren deze gebeurtenissen en alleen als de poging tot afhandeling overeenkomt met de SACL.

Note

Manipulatiegebeurtenissen worden alleen gegenereerd voor objecttypen waarvoor de bijbehorende subcategorie Bestandssysteem of Registerobjecttoegang is ingeschakeld. Raadpleeg het controlebestandssysteem of het controleregisterbeleid .

Gebeurtenis-id	Gebeurtenisbericht
4656	Er is een verwijzing naar een object aangevraagd.
4658	De ingang naar een object is gesloten.
4690	Er is geprobeerd een handle naar een object te dupliceren.

Gebeurtenisvolume: varieert van hoe SACL's worden geconfigureerd.

Beleid voor het controleren van kernelobjecten uitvouwen

Het beleid Audit Kernel Object bepaalt of het besturingssysteem audit evenementen genereert wanneer gebruikers proberen toegang te krijgen tot de systeemkernel, waaronder mutexen en semaforen. Alleen kernelobjecten met een overeenkomende SACL genereren beveiligingscontrolegebeurtenissen. De gegenereerde audits zijn alleen nuttig voor ontwikkelaars. Kernelobjecten krijgen doorgaans alleen SACL's als de auditBaseObjects - of AuditBaseDirectories-controleopties zijn ingeschakeld.

Note

De controle: Controleer de toegang van globale systeemobjecten beleidsinstelling bepaalt de standaard SACL van kernelobjecten.

Gebeurtenis-id	Gebeurtenisbericht
4659	Er is een referentie naar een object aangevraagd met de bedoeling om het te verwijderen.
4660	Er is een object verwijderd.
4661	Er is een verwijzing naar een object aangevraagd.
4663	Er is een poging gedaan om toegang te krijgen tot een object.

Gebeurtenisvolume: Hoog als de controletoegang van globale systeemobjecten is ingeschakeld.

Controleer andere gebeurtenissen voor objecttoegang beleid uitbreiden

Het beleid Andere objecttoegangsgebeurtenissen controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert voor het beheer van Task Scheduler-taken of COM+-objecten.

Voor schema-taken worden de volgende acties geauditeerd:

Er wordt een taak gemaakt, verwijderd, ingeschakeld, uitgeschakeld of bijgewerkt.

Voor COM+-objecten worden de volgende acties gecontroleerd:

Er wordt een catalogusobject toegevoegd, verwijderd of bijgewerkt.

Gebeurtenis-id	Gebeurtenisbericht
4671	Een toepassing heeft geprobeerd toegang te krijgen tot een geblokkeerd ordinaal via de TBS.
4691	Indirecte toegang tot een object is aangevraagd.
4698	Er is een geplande taak gemaakt.
4699	Er is een geplande taak verwijderd.
4700	Er is een geplande taak ingeschakeld.
4701	Een geplande taak is uitgeschakeld.
4702	Er is een geplande taak bijgewerkt.
5148	Het Windows-filterplatform heeft een DoS-aanval gedetecteerd en een defensieve modus betreden; pakketten die aan deze aanval zijn gekoppeld, worden verwijderd. Deze gebeurtenis wordt alleen geregistreerd op computers met de ondersteunde versies van het Windows-besturingssysteem.
5149	De DoS-aanval is afgevallen en de normale verwerking wordt hervat. Deze gebeurtenis wordt alleen geregistreerd op computers met de ondersteunde versies van het Windows-besturingssysteem.
5888	Er is een object in de COM+-catalogus gewijzigd.
5889	Er is een object verwijderd uit de COM+-catalogus.
5890	Er is een object toegevoegd aan de COM+-catalogus.

Gebeurtenisvolume: Laag.

Auditregisterbeleid uitbreiden

Het controleregisterbeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer gebruikers toegang proberen te krijgen tot registerobjecten. Controlegebeurtenissen worden alleen gegenereerd voor objecten die SACL's hebben geconfigureerd, en alleen als het type toegang dat is aangevraagd (zoals Schrijven, Lezen of Wijzigen) en het account dat de aanvraag doet, overeenkomt met de instellingen in de SACL.

Als geslaagde controle is ingeschakeld, wordt er telkens wanneer een account toegang heeft tot een registerobject met een overeenkomende SACL, een controlevermelding gegenereerd. Als foutcontrole is ingeschakeld, wordt er telkens een controlevermelding gegenereerd wanneer een gebruiker geen toegang probeert te krijgen tot een registerobject met een overeenkomende SACL.

Gebeurtenis-id	Gebeurtenisbericht
4657	Er is een registerwaarde gewijzigd.
5039	Er is een registersleutel gevirtualiseerd.

Gebeurtenisvolume: varieert van de configuratie van register-SACLs.

Controleer uitbreiden van beleid voor verwijderbare opslag

Het beleid verwisselbare opslag controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer gebruikers toegang proberen te krijgen tot bestandssysteemobjecten op verwisselbare opslagapparaten. Controlegebeurtenissen worden gegenereerd voor alle typen toegang tot elk object in verwisselbare opslag.

Wanneer dit beleid is ingeschakeld, wordt een controlegebeurtenis geregistreerd telkens wanneer een account toegang heeft tot een bestandssysteemobject op een verwisselbaar opslagapparaat. Geslaagde controles leggen geslaagde toegangspogingen vast, terwijl mislukte controles mislukte pogingen vastleggen. Als dit beleid niet is geconfigureerd, worden er geen controlegebeurtenissen gegenereerd voor toegang tot bestandssysteemobjecten op verwisselbare opslagapparaten.

Gebeurtenis-id	Gebeurtenisbericht
4656	Er is een verwijzing naar een object aangevraagd.
4658	De ingang naar een object is gesloten.
4663	Er is een poging gedaan om toegang te krijgen tot een object.

SAM-beleid voor controle uitvouwen

Met de controle-SAM kunt u gebeurtenissen controleren die worden gegenereerd door pogingen om toegang te krijgen tot SAM-objecten. De SAM is een database die aanwezig is op computers met Windows-besturingssystemen waarin gebruikersaccounts en beveiligingsdescriptors worden opgeslagen voor gebruikers op de lokale computer. SAM-objecten zijn onder andere:

SAM_ALIAS: een lokale groep
SAM_GROUP: Een groep die geen lokale groep is
SAM_USER: een gebruikersaccount
SAM_DOMAIN: Een domein
SAM_SERVER: een computeraccount

Als u deze beleidsinstelling configureert, wordt er een controlegebeurtenis gegenereerd wanneer een SAM-object wordt geopend. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen. Alleen de SACL voor SAM_SERVER kan worden gewijzigd.

Wijzigingen in gebruikers- en groepsobjecten worden bijgehouden door de auditcategorie Accountbeheer. Gebruikersaccounts met voldoende bevoegdheden kunnen echter mogelijk de bestanden wijzigen waarin de account- en wachtwoordgegevens worden opgeslagen in het systeem, waardoor accountbeheer-gebeurtenissen worden overgeslagen.

Gebeurtenis-id	Gebeurtenisbericht
4659	Er is een referentie naar een object aangevraagd met de bedoeling om het te verwijderen.
4660	Er is een object verwijderd.
4661	Er is een verwijzing naar een object aangevraagd.
4663	Er is een poging gedaan om toegang te krijgen tot een object.

Gebeurtenisvolume: Hoog op domeincontrollers.

Uitbreiden van het auditbeleid voor centrale toegangsbeleid fasering

Het Audit Central Access Policy Staging-beleid maakt het mogelijk om toegangspogingen te auditeren waarbij de machtigingen die zijn verleend of geweigerd door een voorgesteld centraal toegangsbeleid verschillen van die van het huidige beleid voor een object. Wanneer dit beleid is geconfigureerd, wordt er telkens een controlegebeurtenis gegenereerd wanneer een gebruiker toegang krijgt tot een object en de machtigingen die zijn verleend door het huidige centrale toegangsbeleid verschillen van de machtigingen die zijn verleend door het voorgestelde beleid. Controlegebeurtenissen worden als volgt gegenereerd:

Geslaagde controles (indien ingeschakeld) logboektoegangspogingen waarbij het huidige beleid toegang verleent, maar het voorgestelde beleid zou dit weigeren.
Mislukte controles (indien ingeschakeld) logboektoegangspogingen in deze scenario's:
- Het huidige beleid verleent geen toegang, maar het voorgestelde beleid zou toegang verlenen.
- Een principal vraagt hun maximaal toegestane toegangsrechten aan en de rechten die door het huidige beleid worden verleend, verschillen van de rechten die door het voorgestelde beleid worden verleend.

Gebeurtenis-id	Gebeurtenisbericht
4818	Voorgesteld centraal toegangsbeleid verleent niet dezelfde toegangsmachtigingen als het huidige centrale toegangsbeleid.

Gebeurtenisvolume: mogelijk hoog op een bestandsserver wanneer het voorgestelde beleid aanzienlijk verschilt van het huidige centrale toegangsbeleid.
Standaard: geen controle.

beleidswijziging

Met controlegebeurtenissen voor beleidswijzigingen kunt u wijzigingen bijhouden in belangrijk beveiligingsbeleid op een lokaal systeem of netwerk. Omdat beleidsregels doorgaans worden ingesteld door beheerders om netwerkbronnen te beveiligen, kan het bewaken van wijzigingen of pogingen om dit beleid te wijzigen een belangrijk aspect van beveiligingsbeheer voor een netwerk zijn. Deze categorie bevat de volgende subcategorieën:

Auditbeleid-wijzigingsbeleid uitbreiden

Het Auditbeleidwijziging beleid bepaalt of het besturingssysteem controle-gebeurtenissen genereert wanneer wijzigingen worden aangebracht in het auditbeleid. Wijzigingen in het controlebeleid zijn kritieke beveiligingsgebeurtenissen. Wijzigingen in controlebeleid die worden gecontroleerd, zijn onder andere:

Machtigingen en controle-instellingen voor het controlebeleidsobject wijzigen (met behulp van auditpol /set /sd).
Het systeemcontrolebeleid wijzigen.
Bronnen voor beveiligingsevenementen registreren en de registratie ervan ongedaan maken.
Controle-instellingen per gebruiker wijzigen.
De waarde van CrashOnAuditFail wijzigen.
Iets wijzigen in de lijst Speciale groepen.
Controle-instellingen voor een object wijzigen (bijvoorbeeld het wijzigen van de SACL voor een bestand of registersleutel).

Note

SACL-wijzigingscontrole wordt uitgevoerd wanneer een SACL voor een object is gewijzigd en de categorie Beleidswijziging is geconfigureerd. Discretionaire toegangsbeheerlijst (DACL) en controle van eigenaarswijziging worden uitgevoerd wanneer objecttoegangscontrole is geconfigureerd en de SACL van het object is ingesteld voor controle van de DACL of de eigenaarwijziging.

Gebeurtenis-id	Gebeurtenisbericht
4715	Het auditbeleid (SACL) voor een object is gewijzigd.
4719	Het systeemcontrolebeleid is gewijzigd.
4817	Controle-instellingen voor een object zijn gewijzigd. Deze gebeurtenis wordt alleen geregistreerd op computers met de ondersteunde versies van het Windows-besturingssysteem.
4902	De controlebeleidstabel per gebruiker is gemaakt.
4904	Er is een poging gedaan om een bron van een beveiligingsgebeurtenis te registreren.
4905	Er is geprobeerd de registratie van een beveiligingsgebeurtenisbron ongedaan te maken.
4906	De waarde CrashOnAuditFail is gewijzigd.
4907	Controle-instellingen voor het object zijn gewijzigd.
4908	Speciale groepenlogontabel gewijzigd.
4912	Controlebeleid per gebruiker is gewijzigd.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

Auditbeleid voor verificatie op wijzigingen uitbreiden

Het Audit Authenticatiebeleidwijziging beleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer wijzigingen worden aangebracht in het authenticatiebeleid. Deze instelling is handig voor het bijhouden van wijzigingen in vertrouwen op domein- en forestniveau en bevoegdheden die worden verleend aan gebruikersaccounts of groepen. Wijzigingen in verificatiebeleid zijn onder andere:

Het maken, wijzigen en verwijderen van forest- en domeinvertrouwensrelaties.
Wijzigingen in Kerberos-beleid onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid\Kerberos-beleid.

Note

De controlegebeurtenis wordt geregistreerd wanneer het beleid wordt toegepast, niet wanneer de instellingen worden gewijzigd door de beheerder.

Wanneer een van de volgende gebruikersrechten wordt verleend aan een gebruiker of groep:

Toegang tot deze computer vanuit het netwerk.
Lokaal aanmelden toestaan.
Toestaan van aanmelding via extern bureaublad.
Meld u aan als batchtaak.
Inloggen als een dienst.

Naamruimteconflicten, bijvoorbeeld wanneer een toegevoegde vertrouwensrelatie botst met een bestaande naamruimtenaam.

Gebeurtenis-id	Gebeurtenisbericht
4713	Kerberos-beleid is gewijzigd.
4716	Informatie over vertrouwde domeinen is gewijzigd.
4717	Systeembeveiligingstoegang is verleend aan een account.
4718	Systeembeveiligingstoegang is verwijderd uit een account.
4739	Domeinbeleid is gewijzigd.
4864	Er is een naamruimteconflict gedetecteerd.
4865	Er is een vertrouwde vermelding van bosgegevens toegevoegd.
4866	Er is een vermelding van betrouwbare bosinformatie verwijderd.
4867	Er is een vertrouwde forestgegevensvermelding gewijzigd.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

Uitbreiden van het beleid voor controleautorisatiewijzigingen

Het beleid Wijziging van controleautorisatiebeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer er specifieke wijzigingen worden aangebracht in het autorisatiebeleid. Wijzigingen in autorisatiebeleid die kunnen worden gecontroleerd, zijn onder andere:

Het toewijzen of verwijderen van gebruikersrechten (bevoegdheden) zoals SeCreateTokenPrivilege, met uitzondering van de systeemtoegangsrechten die worden gecontroleerd met behulp van de subcategorie Wijziging van verificatiebeleid controleren.
Het EFS-beleid (Encrypting File System) wijzigen.

Gebeurtenis-id	Gebeurtenisbericht
4704	Er is een gebruikersrecht toegewezen.
4705	Er is een gebruikersrecht verwijderd.
4706	Er is een nieuwe vertrouwensrelatie gemaakt voor een domein.
4707	Een vertrouwensrelatie met een domein is verwijderd.
4714	Versleuteld beleid voor gegevensherstel is gewijzigd.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Beleid voor wijziging van auditfilterplatform uitvouwen

Het wijzigingsbeleid voor controlefilterplatformbeleid bepaalt of het besturingssysteem controlegebeurtenissen genereert voor bepaalde IPsec- en Windows-filterplatformacties. Met Windows Filtering Platform (WFP) kunnen onafhankelijke softwareleveranciers (ISV's) TCP/IP-pakketten filteren en wijzigen, verbindingen bewaken of autoriseren, internetprotocolbeveiliging (IPsec)-beveiligd verkeer filteren en RPC's filteren. Met deze beveiligingsbeleidsinstelling wordt bepaald of het besturingssysteem controlegebeurtenissen genereert voor:

Status van IPsec-services.
Wijzigingen in IPsec-instellingen.
Status en wijzigingen in de Windows Filtering Platform-engine en -providers.
IPsec Policy Agent-serviceactiviteiten.

Gebeurtenis-id	Gebeurtenisbericht
4709	IPsec-services zijn gestart.
4710	IPsec Services is uitgeschakeld.
4711	Kan een van de volgende berichten bevatten: PAStore Engine heeft lokaal in de cache opgeslagen kopie van IPsec-beleid voor Active Directory-opslag op de computer toegepast. PAStore Engine heeft IPsec-beleid voor Active Directory-opslag toegepast op de computer. PAStore Engine heeft IPsec-beleid voor lokale registeropslag toegepast op de computer. PAStore Engine kan geen lokaal in de cache opgeslagen kopie van IPsec-beleid voor Active Directory-opslag op de computer toepassen. PAStore Engine kan geen IPsec-beleid voor Active Directory-opslag toepassen op de computer. PAStore Engine kan geen IPsec-beleid voor lokale registeropslag toepassen op de computer. PaStore Engine kan bepaalde regels van het actieve IPsec-beleid op de computer niet toepassen. PAStore Engine kan het IPsec-beleid voor mapopslag niet laden op de computer. De PAStore-engine heeft het IPsec-beleid voor mappenopslag op de computer geladen. PAStore Engine kan geen IPsec-beleid voor lokale opslag laden op de computer. PAStore Engine heeft IPsec-beleid voor lokale opslag op de computer geladen. PaStore Engine heeft gecontroleerd op wijzigingen in het actieve IPsec-beleid en er zijn geen wijzigingen gedetecteerd.
4712	Er is een mogelijk ernstige fout opgetreden in IPsec-services.
5040	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verificatieset toegevoegd.
5041	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verificatieset gewijzigd.
5042	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verificatieset verwijderd.
5043	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verbindingsbeveiligingsregel toegevoegd.
5044	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verbindingsbeveiligingsregel gewijzigd.
5045	Er is een wijziging aangebracht in IPsec-instellingen. Er is een verbindingsbeveiligingsregel verwijderd.
5046	Er is een wijziging aangebracht in IPsec-instellingen. Er is een cryptoset toegevoegd.
5047	Er is een wijziging aangebracht in IPsec-instellingen. Er is een cryptoset gewijzigd.
5048	Er is een wijziging aangebracht in IPsec-instellingen. Er is een cryptoset verwijderd.
5440	Het volgende bericht was aanwezig toen de basisfilteringsengine van het Windows-filterplatform werd gestart.
5441	Het volgende filter was aanwezig toen de Basisfilteringsengine voor het Windows-filterplatform werd gestart.
5442	De volgende provider was aanwezig toen de Basisfilteringsengine van het Windows-filterplatform werd gestart.
5443	De volgende providercontext was aanwezig toen de basisfilteringsengine van het Windows-filterplatform werd gestart.
5444	De volgende sublaag was aanwezig toen de Basisfilteringsengine voor het Windows-filterplatform werd gestart.
5446	Er is een windows-filterplatformbijschrift gewijzigd.
5448	Er is een provider van het Windows-filterplatform gewijzigd.
5449	Er is een context van de Provider van het Windows-filterplatform gewijzigd.
5450	Er is een sublaag van het Windows-filterplatform gewijzigd.
5456	PAStore Engine heeft IPsec-beleid voor Active Directory-opslag toegepast op de computer.
5457	PAStore Engine kan geen IPsec-beleid voor Active Directory-opslag toepassen op de computer.
5458	PAStore Engine heeft lokaal in de cache opgeslagen kopie van IPsec-beleid voor Active Directory-opslag op de computer toegepast.
5459	PAStore Engine kan geen lokaal in de cache opgeslagen kopie van IPsec-beleid voor Active Directory-opslag op de computer toepassen.
5460	PAStore Engine heeft IPsec-beleid voor lokale registeropslag toegepast op de computer.
5461	PAStore Engine kan geen IPsec-beleid voor lokale registeropslag toepassen op de computer.
5462	PaStore Engine kan bepaalde regels van het actieve IPsec-beleid op de computer niet toepassen. Gebruik de invoegtoepassing IP-beveiligingsmonitor om het probleem vast te stellen.
5463	PaStore Engine heeft gecontroleerd op wijzigingen in het actieve IPsec-beleid en er zijn geen wijzigingen gedetecteerd.
5464	PAStore Engine heeft gecontroleerd op wijzigingen in het actieve IPsec-beleid, heeft gedetecteerde wijzigingen gevonden en deze toegepast op IPsec-services.
5465	PAStore Engine heeft een commando ontvangen voor het geforceerd herladen van het IPsec-beleid en heeft het commando met succes verwerkt.
5466	PAStore Engine heeft gecontroleerd op wijzigingen in het Active Directory IPsec-beleid, vastgesteld dat Active Directory niet kan worden bereikt en zal in plaats daarvan de kopie in de cache van het Active Directory IPsec-beleid gebruiken. Wijzigingen die sinds de laatste poll zijn aangebracht in het Active Directory IPsec beleid konden niet worden toegepast.
5467	PaStore Engine heeft gecontroleerd op wijzigingen in het Active Directory IPsec-beleid, heeft vastgesteld dat Active Directory kan worden bereikt en er zijn geen wijzigingen in het beleid gevonden. De kopie in de cache van het Active Directory IPsec-beleid wordt niet meer gebruikt.
5468	PAStore Engine heeft gecontroleerd op wijzigingen in het Active Directory IPsec-beleid, vastgesteld dat Active Directory kan worden bereikt, wijzigingen in het beleid kan worden gevonden en deze wijzigingen zijn toegepast. De kopie in de cache van het Active Directory IPsec-beleid wordt niet meer gebruikt.
5471	PAStore Engine heeft IPsec-beleid voor lokale opslag op de computer geladen.
5472	PAStore Engine kan geen IPsec-beleid voor lokale opslag laden op de computer.
5473	De PAStore-engine heeft het IPsec-beleid voor mappenopslag op de computer geladen.
5474	PAStore Engine kan het IPsec-beleid voor mapopslag niet laden op de computer.
5477	PAStore Engine kan geen filter voor de snelle modus toevoegen.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Controleer MPSSVC-uitbreiding Rule-Level Beleidswijziging

Het beleid Voor het controleren van MPSSVC-Rule-Level Beleid wijzigen bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer wijzigingen worden aangebracht in beleidsregels voor de Microsoft Protection-service (MPSSVC.exe).

De Microsoft Protection Service, die door Windows Firewall wordt gebruikt, maakt integraal deel uit van de bedreigingsbeveiliging van de computer tegen internetbedreigingen, zoals Trojans en spyware. De bijgehouden activiteiten zijn onder andere:

Actief beleid wanneer de Windows Firewall-service wordt gestart.
Wijzigingen in Windows Firewall-regels.
Wijzigingen in de lijst met Windows Firewall-uitzonderingen.
Wijzigingen in Windows Firewall-instellingen.
Regels die worden genegeerd of niet worden toegepast door de Windows Firewall-service.
Wijzigingen in instellingen voor Groepsbeleid van Windows Firewall.

Wijzigingen in firewallregels zijn belangrijk om inzicht te krijgen in de beveiligingsstatus van de computer en hoe goed deze is beveiligd tegen netwerkaanvallen.

Gebeurtenis-id	Gebeurtenisbericht
4944	Het volgende beleid was actief toen Windows Firewall werd gestart.
4945	Er is een regel vermeld toen Windows Firewall werd gestart.
4946	Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel toegevoegd.
4947	Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel gewijzigd.
4948	Er is een wijziging aangebracht in de lijst met Windows Firewall-uitzonderingen. Er is een regel verwijderd.
4949	Windows Firewall-instellingen zijn hersteld naar de standaardwaarden.
4950	Een Windows Firewall-instelling is gewijzigd.
4951	Een regel is genegeerd omdat het primaire versienummer niet is herkend door Windows Firewall.
4952	Onderdelen van een regel zijn genegeerd omdat het secundaire versienummer niet is herkend door Windows Firewall. De andere onderdelen van de regel worden afgedwongen.
4953	Een regel is genegeerd door Windows Firewall omdat deze de regel niet kan parseren.
4954	De instellingen voor groepsbeleid voor Windows Firewall zijn gewijzigd. De nieuwe instellingen zijn toegepast.
4956	Windows Firewall heeft het actieve profiel gewijzigd.
4957	Windows Firewall heeft de volgende regel niet toegepast.
4958	Windows Firewall heeft de volgende regel niet toegepast omdat de regel verwijst naar items die niet op deze computer zijn geconfigureerd.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Ander beleid voor wijzigingsgebeurtenissen controleren uitvouwen

Met het beleid Overige beleidswijzigingsgebeurtenissen controleren wordt bepaald of het besturingssysteem controlegebeurtenissen genereert voor wijzigingen in het beveiligingsbeleid die anders niet worden gecontroleerd in de categorie Beleidswijziging. Deze andere activiteiten in de categorie Beleidswijziging die kunnen worden gecontroleerd, zijn onder andere:

Tpm-configuratiewijzigingen (Trusted Platform Module).
Cryptografische zelftests in de kernelmodus.
Cryptografische provider-bewerkingen.
Cryptografische contextbewerkingen of -wijzigingen.

Gebeurtenis-id	Gebeurtenisbericht
4670	Machtigingen voor een object zijn gewijzigd.
4909	De lokale beleidsinstellingen voor de TBS zijn gewijzigd.
4910	De groepsbeleidsinstellingen voor de TBS zijn gewijzigd.
5063	Er is geprobeerd een cryptografische providerbewerking uit te voeren.
5064	Er is een cryptografische contextbewerking uitgevoerd.
5065	Er is geprobeerd een cryptografische contextwijziging uit te proberen.
5066	Er is geprobeerd een cryptografische functiebewerking uit te voeren.
5067	Er is geprobeerd een cryptografische functie te wijzigen.
5068	Er is geprobeerd een bewerking van de cryptografische functieprovider uit te voeren.
5069	Er is geprobeerd een cryptografische functie-eigenschapsbewerking uit te voeren.
5070	Er is geprobeerd een cryptografische functie-eigenschap te wijzigen.
5447	Er is een Filterplatformfilter voor Windows gewijzigd.
6144	Het beveiligingsbeleid in de groepsbeleidsobjecten is succesvol toegepast.
6145	Er zijn een of meer fouten opgetreden tijdens het verwerken van beveiligingsbeleid in de groepsbeleidsobjecten.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Gebruik van Rechten

Machtigingen voor een netwerk worden verleend voor gebruikers of computers om gedefinieerde taken te voltooien. Met instellingen voor beveiligingsbeleid en controlegebeurtenissen kunt u het gebruik van bepaalde machtigingen voor een of meer systemen bijhouden. Deze categorie bevat de volgende subcategorieën:

Beleid voor het gebruik van niet-gevoelige bevoegdheden bij audit uitbreiden

Het beleid Gebruik van niet-gevoelige bevoegdheden controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert wanneer niet-gevoelige bevoegdheden (gebruikersrechten) worden gebruikt. De volgende bevoegdheden zijn niet-gevoelig:

Werkstations toevoegen aan domein
Geheugenquota aanpassen voor een proces
Lokaal aanmelden toestaan
Aanmelden via Terminal Services toestaan
Controle van doorgang negeren
De systeemtijd wijzigen
Een paginabestand maken
Globale objecten maken
Permanent gedeelde objecten maken
Symbolische koppelingen maken
Toegang tot deze computer weigeren vanuit het netwerk
Het aanmelden als batchtaak weigeren
Inloggen als een service ontzeggen
Lokaal aanmelden weigeren
Aanmelden via Terminal Services weigeren
Geforceerd afsluiten vanaf een extern systeem
Een proces-werkset verhogen
Prioriteit verhogen voor planning
Pagina's in het geheugen vergrendelen
Aanmelden als batchtaak
Aanmelden als service
Een objectlabel wijzigen
Onderhoudstaken op volume uitvoeren
Een enkel proces bekijken
Systeemprestaties profileren
Computer uit basisstation verwijderen
Het systeem afsluiten
Directoryservicegegevens synchroniseren

Als u deze beleidsinstelling configureert, wordt er een controlegebeurtenis gegenereerd wanneer een niet-gevoelige bevoegdheid wordt aangeroepen. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen.

Gebeurtenis-id	Gebeurtenisbericht
4672	Speciale bevoegdheden die zijn toegewezen aan nieuwe inloggen.
4673	Er is een bevoegde service aangeroepen.
4674	Er is een bewerking uitgevoerd op een bevoegd object.

Gebeurtenisvolume: Zeer hoog.

Beleid voor het gebruik van andere bevoegdheden uitvouwen

Het beleid Gebeurtenissen voor het gebruik van andere bevoegdheden controleren wordt niet gebruikt.

Beleid voor het gebruik van gevoelige bevoegdheden voor controle uitvouwen

Het Audit Gevoelig Gebruik van Bevoegdheden beleid bepaalt of het besturingssysteem auditgebeurtenissen genereert wanneer gevoelige bevoegdheden (gebruikersrechten) worden gebruikt. Acties die kunnen worden gecontroleerd, zijn:

Er wordt een bevoegde service aangeroepen.
Een van de volgende bevoegdheden wordt aangeroepen:
- Fungeren als onderdeel van het besturingssysteem
- Back-ups maken van bestanden en mappen
- Een tokenobject maken
- Fouten opsporen in programma's
- Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegering
- Beveiligingscontroles genereren
- Een klant imiteren na authenticatie
- Apparaatstuurprogramma's laden en verwijderen
- Controle en beveiligingslogboek beheren
- Omgevingswaarden in firmware wijzigen
- Een token op procesniveau vervangen
- Back-ups van bestanden en mappen terugzetten
- Eigenaar worden van bestanden of andere objecten

Als u deze beleidsinstelling configureert, wordt er een controlegebeurtenis gegenereerd wanneer aanvragen voor gevoelige bevoegdheden worden ingediend. Geslaagde controles registreren geslaagde pogingen en mislukte controles registreren mislukte pogingen.

Gebeurtenis-id	Gebeurtenisbericht
4672	Speciale bevoegdheden die zijn toegewezen aan nieuwe inloggen.
4673	Er is een bevoegde service aangeroepen.
4674	Er is een bewerking uitgevoerd op een bevoegd object.

Gebeurtenisvolume: Hoog.

System

Met instellingen voor systeembeveiligingsbeleid en controlegebeurtenissen kunt u wijzigingen op systeemniveau bijhouden op een computer die niet is opgenomen in andere categorieën en die mogelijke gevolgen hebben voor de beveiliging. Deze categorie bevat de volgende subcategorieën:

Beleid voor controle-IPsec-stuurprogramma's uitvouwen

Het beleid IPsec-stuurprogramma controleren bepaalt of het besturingssysteem controlegebeurtenissen genereert voor de activiteiten van het IPsec-stuurprogramma. Het IPsec-stuurprogramma, met behulp van de IP-filterlijst van het actieve IPsec-beleid, controleert op uitgaande IP-pakketten die moeten worden beveiligd en binnenkomende IP-pakketten die moeten worden geverifieerd en ontsleuteld. Deze beveiligingsbeleidsinstelling rapporteert over de volgende activiteiten van het IPsec-stuurprogramma:

Opstarten en afsluiten van IPsec-services.
Pakketten zijn verwijderd vanwege een integriteitscontrolefout.
Pakketten zijn verwijderd vanwege een fout bij opnieuw afspelen.
Pakketten zijn laten vallen omdat ze in platte tekst zijn.
Pakketten die zijn ontvangen met een onjuiste beveiligingsparameterindex (SPI). Dit kan duiden op defecte hardware- of interoperabiliteitsproblemen.
IPsec-filters kunnen niet worden verwerkt.

Een hoge snelheid van pakketverlies door het IPsec-filterstuurprogramma kan duiden op pogingen om toegang te krijgen tot het netwerk door onbevoegde systemen. Het niet verwerken van IPsec-filters vormt een potentieel beveiligingsrisico omdat sommige netwerkinterfaces mogelijk niet de beveiliging krijgen die wordt geleverd door het IPsec-filter.

Gebeurtenis-id	Gebeurtenisbericht
4960	IPsec heeft een binnenkomend pakket verwijderd dat een integriteitscontrole heeft mislukt. Als dit probleem zich blijft voordoen, kan dit duiden op een netwerkprobleem of dat pakketten tijdens overdracht naar deze computer worden gewijzigd. Controleer of de pakketten die vanaf de externe computer worden verzonden, hetzelfde zijn als de pakketten die door deze computer zijn ontvangen. Deze fout kan ook duiden op interoperabiliteitsproblemen met andere IPsec-implementaties.
4961	IPsec heeft een binnenkomend pakket verwijderd waarvoor een herhalingscontrole is mislukt. Als dit probleem zich blijft voordoen, kan dit duiden op een herhalingsaanval op deze computer.
4962	IPsec heeft een binnenkomend pakket verwijderd waarvoor een herhalingscontrole is mislukt. Het binnenkomende pakket had te weinig volgnummer om ervoor te zorgen dat het geen herhaling was.
4963	IPsec heeft een inkomend plaintext pakket verwijderd dat beveiligd had moeten zijn. Dit komt meestal doordat de externe computer het IPsec-beleid wijzigt zonder deze computer te informeren. Dit kan ook een poging tot spoofingaanval zijn.
4965	IPsec heeft een pakket ontvangen van een externe computer met een onjuiste beveiligingsparameterindex (SPI). Dit wordt meestal veroorzaakt door defecte hardware die pakketten beschadigt. Als deze fouten zich voordoen, controleert u of de pakketten die vanaf de externe computer worden verzonden, hetzelfde zijn als de pakketten die door deze computer zijn ontvangen. Deze fout kan ook duiden op interoperabiliteitsproblemen met andere IPsec-implementaties. Als de connectiviteit in dat geval niet wordt belemmerd, kunnen deze gebeurtenissen worden genegeerd.
5478	IPsec Services is met succes gestart.
5479	IPsec Services zijn succesvol afgesloten. Door het afsluiten van IPsec Services kan de computer een groter risico lopen op netwerkaanvallen of de computer blootstellen aan mogelijke beveiligingsrisico's.
5480	IPsec Services kan de volledige lijst met netwerkinterfaces op de computer niet ophalen. Dit vormt een mogelijk beveiligingsrisico omdat sommige netwerkinterfaces mogelijk niet de beveiliging krijgen die wordt geboden door de toegepaste IPsec-filters. Gebruik de invoegtoepassing IP-beveiligingsmonitor om het probleem vast te stellen.
5483	IPsec-services kunnen RPC-server niet initialiseren. IPsec-services kunnen niet worden gestart.
5484	IPsec Services heeft een kritieke fout opgetreden en is afgesloten. Door het afsluiten van IPsec Services kan de computer een groter risico lopen op netwerkaanvallen of de computer blootstellen aan mogelijke beveiligingsrisico's.
5485	IPsec-services kunnen bepaalde IPsec-filters niet verwerken op een plug-and-play-gebeurtenis voor netwerkinterfaces. Dit vormt een mogelijk beveiligingsrisico omdat sommige netwerkinterfaces mogelijk niet de beveiliging krijgen die wordt geboden door de toegepaste IPsec-filters. Gebruik de invoegtoepassing IP-beveiligingsmonitor om het probleem vast te stellen.

Gebeurtenisvolume: Laag.
Standaard: geen controle.

Beleid voor het controleren van andere systeemgebeurtenissen uitbreiden

Het beleid Andere systeemgebeurtenissen controleren bepaalt of het besturingssysteem verschillende systeemgebeurtenissen controleert. De systeemevenementen in deze categorie zijn onder andere:

Opstarten en afsluiten van de Windows Firewall-service en het stuurprogramma.
Verwerking van beveiligingsbeleid door de Windows Firewall-service.
Cryptografiesleutelbestands- en migratiebewerkingen.

Important

Als u de Windows Firewall-service niet start, kan dit leiden tot een computer die niet volledig is beveiligd tegen netwerkbedreigingen.

Gebeurtenis-id	Gebeurtenisbericht
5024	De Windows Firewall-service is gestart.
5025	De Windows Firewall-service is gestopt.
5027	De Windows Firewall-service kan het beveiligingsbeleid niet ophalen uit de lokale opslag. De service blijft het huidige beleid afdwingen.
5028	De Windows Firewall-service kan het nieuwe beveiligingsbeleid niet parseren. De service wordt voortgezet met het momenteel geldende beleid.
5029	De Windows Firewall-service kan het stuurprogramma niet initialiseren. De service blijft het huidige beleid afdwingen.
5030	De Windows Firewall-service kan niet worden gestart.
5032	Windows Firewall kan de gebruiker niet op de hoogte stellen dat een toepassing geen binnenkomende verbindingen in het netwerk kan accepteren.
5033	Het Windows Firewall-stuurprogramma is gestart.
5034	Het Windows Firewall-stuurprogramma is gestopt.
5035	Het Windows Firewall-stuurprogramma kan niet worden gestart.
5037	Het Windows Firewall-stuurprogramma heeft kritieke runtime-fout gedetecteerd. Terminating.
5058	Sleutelbestandsbewerking.
5059	Sleutelmigratiebewerking.
6400	BranchCache: er is een onjuist opgemaakt antwoord ontvangen tijdens het detecteren van de beschikbaarheid van inhoud. Deze gebeurtenis wordt alleen geregistreerd op computers met ondersteunde versies van het Windows-besturingssysteem.
6401	BranchCache: ongeldige gegevens ontvangen van een peer. Gegevens zijn verwijderd. ¹
6402	BranchCache: het bericht naar de gehoste cache die deze gegevens aanbiedt, is onjuist ingedeeld. ¹
6403	BranchCache: De gehoste cache heeft een onjuist opgemaakt antwoord naar de client verzonden. ¹
6404	BranchCache: gehoste cache kan niet worden geverifieerd met behulp van het ingerichte SSL-certificaat. ¹
6405	BranchCache: %2 keer is gebeurtenis-ID %1 opgetreden. ¹
6406	%1 geregistreerd bij Windows Firewall om het filteren voor het volgende te beheren: %2 ¹
6407	1% ¹
6408	Geregistreerd product %1 mislukt en Windows Firewall beheert nu het filteren voor %2 ¹

Note

¹ Deze gebeurtenis wordt alleen geregistreerd op computers met ondersteunde versies van het Windows-besturingssysteem.

Gebeurtenisvolume: Laag.
Standaard: geslaagd en mislukt.

Uitvouwen Beleid voor Wijziging van Controle van Beveiligingsstatus

Het beleid voor controle van beveiligingsstatuswijzigingen bepaalt of Windows controlegebeurtenissen genereert voor wijzigingen in de beveiligingsstatus van een systeem. Wijzigingen in de beveiligingsstatus van het besturingssysteem zijn onder andere:

Systeem opstarten en afsluiten.
Wijziging van systeemtijd.
Systeemherstel van CrashOnAuditFail. Deze gebeurtenis wordt geregistreerd nadat een systeem opnieuw is opgestart na CrashOnAuditFail. Sommige controlebare activiteiten worden mogelijk niet geregistreerd wanneer een systeem opnieuw wordt opgestart vanwege CrashOnAuditFail.

Gebeurtenis-id	Gebeurtenisbericht
4608	Windows wordt opgestart.
4609	Windows wordt afgesloten.
4616	De systeemtijd is gewijzigd.
4621	De beheerder heeft het systeem hersteld van CrashOnAuditFail. Gebruikers die geen beheerders zijn, kunnen zich nu aanmelden. Sommige controleerbare activiteiten zijn mogelijk niet vastgelegd.

Gebeurtenisvolume: Laag.
Standaard: Geslaagd.

Uitbreidingsbeleid voor Audit Security System uitbreiden

Het beleid Audit Security System Extension bepaalt of het besturingssysteem auditgebeurtenissen genereert die betrekking hebben op beveiligingssysteemextensies. Wijzigingen in beveiligingssysteemextensies in het besturingssysteem omvatten de volgende activiteiten:

Er wordt een beveiligingsextensiecode geladen (zoals een verificatie, melding of beveiligingspakket). Een beveiligingsextensiecode registreert zich bij de lokale beveiligingsinstantie en wordt gebruikt en vertrouwd om aanmeldingspogingen te verifiëren, aanmeldingsaanvragen in te dienen en op de hoogte te worden gesteld van account- of wachtwoordwijzigingen. Voorbeelden van deze extensiecode zijn beveiligingsondersteuningsproviders, zoals Kerberos en NTLM.
Er is een service geïnstalleerd. Er wordt een auditlogboek gegenereerd wanneer een service wordt geregistreerd bij Service Control Manager. Het auditlogboek bevat informatie over de servicenaam, het binaire bestand, het type, het begintype en het serviceaccount.

Important

Pogingen om extensies of services van beveiligingssystemen te installeren of te laden, zijn kritieke systeem gebeurtenissen die kunnen duiden op een beveiligingsschending.

Gebeurtenis-id	Gebeurtenisbericht
4610	Er is een verificatiepakket geladen door de lokale beveiligingsinstantie.
4611	Er is een vertrouwd aanmeldingsproces geregistreerd bij de lokale beveiligingsinstantie.
4614	De Security Account Manager heeft een meldingspakket geladen.
4622	Er is een beveiligingspakket geladen door de lokale beveiligingsinstantie.
4697	Er is een service geïnstalleerd in het systeem.

Gebeurtenisvolume: Laag. Gebeurtenissen van beveiligingssysteemuitbreidingen worden vaker gegenereerd op een domeincontroller dan op clientcomputers of lidservers.
Standaard: geen controle.

Controlesysteemintegriteitsbeleid uitvouwen

Het controlesysteemintegriteitsbeleid bepaalt of het besturingssysteem gebeurtenissen controleert die de integriteit van het beveiligingssubsysteem schenden. Activiteiten die de integriteit van het beveiligingssubsysteem schenden, zijn onder andere:

Gecontroleerde gebeurtenissen gaan verloren als gevolg van een fout in het controlesysteem.
Een proces maakt gebruik van een ongeldige LPC-poort (Local Procedure Call) in een poging om een client te imiteren, een clientadresruimte te beantwoorden, naar een clientadresruimte te lezen of vanuit een clientadresruimte te schrijven.
Er wordt een schending van de RPC-integriteit gedetecteerd.
Er wordt een schending van de code-integriteit met een ongeldige hashwaarde van een uitvoerbaar bestand gedetecteerd.
Cryptografische taken worden uitgevoerd.

Important

Schendingen van de integriteit van het beveiligingssubsysteem zijn essentieel en kunnen duiden op een mogelijke beveiligingsaanval.

Gebeurtenis-id	Gebeurtenisbericht
4612	Interne resources die zijn toegewezen voor het in de wachtrij plaatsen van controleberichten zijn uitgeput, wat leidt tot het verlies van sommige controles.
4615	Ongeldig gebruik van LPC-poort.
4618	Er is een bewaakt beveiligingsgebeurtenispatroon opgetreden.
4816	RPC heeft een integriteitsschending gedetecteerd tijdens het ontsleutelen van een binnenkomend bericht.
5038	Code-integriteit heeft vastgesteld dat de afbeeldingshash van een bestand ongeldig is. Het bestand kan beschadigd zijn vanwege een niet-geautoriseerde wijziging of de ongeldige hash kan duiden op een mogelijke schijfapparaatfout.
5056	Er is een cryptografische zelftest uitgevoerd.
5057	Een cryptografische primitieve bewerking is mislukt.
5060	Verificatiebewerking is mislukt.
5061	Cryptografische bewerking.
5062	Er is een cryptografische zelftest in de kernelmodus uitgevoerd.
6281	Code-integriteit heeft vastgesteld dat de pagina-hashes van een afbeeldingsbestand ongeldig zijn. Het bestand kan onjuist worden ondertekend zonder pagina-hashes of beschadigd vanwege een niet-geautoriseerde wijziging. De ongeldige hashes kunnen duiden op een mogelijke schijfapparaatfout. Deze gebeurtenis wordt alleen geregistreerd op computers met de ondersteunde versies van het Windows-besturingssysteem.

Gebeurtenisvolume: Laag.
Standaard: geslaagd en mislukt.

Globale objecttoegang

Met globale beleidsinstellingen voor objecttoegang kunnen beheerders computer-SACL's per objecttype definiëren voor het bestandssysteem of voor het register. De opgegeven SACL wordt vervolgens automatisch toegepast op elk object van dat type.

Auditors kunnen bewijzen dat elke resource in het systeem wordt beveiligd door een controlebeleid door de inhoud van de beleidsinstellingen voor globale objecttoegang te bekijken. Als auditors bijvoorbeeld een beleidsinstelling zien met de naam 'Alle wijzigingen bijhouden die door groepsbeheerders zijn aangebracht', weten ze dat dit beleid van kracht is.

Resource-SACL's zijn ook handig voor diagnostische scenario's. Als u bijvoorbeeld het globale beleid voor objecttoegang instelt om alle activiteiten voor een specifieke gebruiker te registreren en het beleid in staat te stellen gebeurtenissen 'Toegang geweigerd' voor het bestandssysteem of register bij te houden, kunnen beheerders snel bepalen welk object in een systeem toegang tot een gebruiker weigert.

Als u het selectievakje Deze beleidsinstelling definiëren inschakelt op de eigenschappenpagina van het beleid en vervolgens Configureren selecteert, kunt u een gebruiker of groep toevoegen aan de algemene SACL. Hiermee kunt u computer-SACL's per objecttype definiëren voor het bestandssysteem. De opgegeven SACL wordt vervolgens automatisch toegepast op elk objecttype van het bestandssysteem.
Bestandssysteem uitbreiden (Global Object Access Auditing) beleid

Met het bestandssysteembeleid (Global Object Access Auditing) kunt u een globale SACL configureren op het bestandssysteem voor een hele computer.

Als zowel een bestand of map SACL als een globale SACL zijn geconfigureerd op een computer, wordt de effectieve SACL afgeleid door het bestand of de map SACL en de globale SACL te combineren. Dit betekent dat er een controlegebeurtenis wordt gegenereerd als een activiteit overeenkomt met het bestand of de map SACL of de globale SACL.
- Gebeurtenisvolume: varieert op de effectieve SACL en het niveau van gebruikersactiviteit.
Registerbeleid uitvouwen (globale objecttoegangscontrole)

Met het registerbeleid (Global Object Access Auditing) kunt u een globale SACL configureren in het register van een computer.

Als zowel een register SACL als een globale SACL zijn geconfigureerd op een computer, wordt de effectieve SACL afgeleid door het register SACL en de globale SACL te combineren. Dit betekent dat er een controlegebeurtenis wordt gegenereerd wanneer een activiteit overeenkomt met de registersleutel SACL of de globale SACL.
- Gebeurtenisvolume: varieert op de effectieve SACL en het niveau van gebruikersactiviteit.

Feedback

Is deze pagina nuttig?

Last updated on 2025-08-16

Geavanceerde configuratie van controlebeleid

Feedback

Aanvullende resources