Leeres Protokoll „Sicherheit“?
Die Protokollierung unter „Sicherheit“ liefert unter Windows XP Meldungen der Erfolgs- und Fehlerüberwachung. Diese resultieren meist aus der Windows-Willkommensseite. Lesen Sie hierzu auch den Microsoft-Artikel unter http://support.microsoft.com/kb/305822/de.
Profis, die genau wissen, was sie tun und wo sie zusätzliche Informationen und Hilfe erhalten, können festlegen, welche Ereignisse unter „Sicherheit“ aufgezeichnet werden sollen. Hierfür müssen Sie der Ereignisanzeige zuerst ein zusätzliches so genanntes „Snap-In“ hinzufügen.
Dies ist eine Aufgabe für die Management-Console (mmc.exe), die nach dem Klick auf START/AUSFÜHREN und der Eingabe von mmc /a aufstartet. Unter Windows XP gehen Sie zu DATEI, gefolgt von SNAP-IN HINZUFÜGEN/ENTFERNEN. Über die Schaltfläche HINZUFÜGEN können Sie eine GRUPPENRICHTLINIE für „Lokaler Computer“ hinzufügen.
Danach lässt sich diese Richtlinie in der Konsole bearbeiten: Wählen Sie „Richtlinien für Lokaler Computer“ und folgen Sie diesem Pfad: RICHTLINIEN FÜR LOKALER COMPUTER/COMPUTERKONFIGURATION/
WINDOWS-EINSTELLUNGEN/ SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIE/
ÜBERWACHUNGSRICHTLINIE. In der rechten Fensterhälfte
legen Sie nun fest, welche der angebotenen Ereignisse überwacht bzw. im Sicherheitsprotokoll notiert werden sollen, zum Beispiel das erfolgreiche oder versuchte Anmelden an diesem PC.
Ab sofort (ohne PC-Neustart) wird jeder Anmeldeversuch im Ereignisprotokoll unter „Sicherheit“ festgehalten. Ein Doppelklick zeigt Ihnen, unter welchem Benutzernamen und von welchem PC aus die versuchte Anmeldung stattgefunden hat. Ob es sich nur um den harmlosen Versuch handelte, auf legalem Weg freigegebene Ordner zu finden, oder ob der Benutzer beabsichtigt hat, Ihr Passwort zu erraten, sollten Sie mit ihm dann bei einer klärenden Tasse Kaffee besprechen.
Seien Sie aber unbedingt zurückhaltend mit diesen Einträgen. Erstens verlangsamt die Protokollierung von zu vielen Ereignissen den PC. Zweitens ist die Größe der Protokolldatei begrenzt. Wenn Sie sich nicht eingehend mit dem Thema befasst haben, könnten Sie durchs Festlegen von Gruppenrichtlinien in Ihrem System so einiges durcheinander bringen, z.B. Zugriffsverbot für alle Benutzer inklusive Systemadministrator.
Komplett leeres Protokoll?
Es kommt vor, dass die Ereignisanzeige anscheinend komplett leer ist. Falls nicht ein eingeschalteter Filter schuld ist, liegt das meist an einem Defekt im Protokoll oder es hat eine gefährliche Größe erreicht. Sie können in diesen Fällen quasi „blind“ ins Protokoll doppelklicken und trotzdem durch die einzelnen Einträge blättern, obwohl Sie diese nicht aufgelistet sehen. Speichern Sie von jedem Protokoll eine Sicherheitskopie und leeren Sie alle.