M 4.342 Aktivierung des Last Access Zeitstempels unter Windows Vista

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das Dateisystem NTFS verwaltet drei Zeitstempel, um Änderungen am Dateisystem nachvollziehen zu können. Diese Zeitstempel werden auch MAC-Zeitstempel genannt. Der Begriff MAC-Time steht unter Windows für die Modification-, Access- and Creation-Time einer Datei im NTFS-Dateisystem.

Muss während der Untersuchung eines Sicherheitsvorfalls (siehe Baustein B 1.8 Behandlung von Sicherheitsvorfällen) ein Datenträger mit NTFS analysiert werden, hilft eine Analyse der MAC-Times um herauszufinden, welche Dateien während des vermutlichen Missbrauchs gelesen, geschrieben, ausgeführt oder verändert wurden. Dies gibt Hinweise darauf, welche Konfigurationsdateien beziehungsweise welche Systemdateien verändert wurden, um zum Beispiel eine Hintertür in das System zu installieren. Zusätzlich kann man die, während des angenommenen Angriffszeitpunkts veränderten, Dateien analysieren und unter Umständen erfahren, welche Methode zum Systemeinbruch angewandt wurde. Durch die Erstellung von so genannten Timelines kann recht genau bestimmt werden, zu welchem Zeitpunkt eine Datei auf ein System kopiert wurde und ob sie in der Folge betrachtet beziehungsweise aufgerufen wurde.

Unter Windows Vista ist das Aktualisieren des Last Access Zeitstempels in der Registry standardmäßig deaktiviert, da bei einer ungünstigen Dateisystemstruktur Leistungseinbußen möglich wären. Im Rahmen der Erstellung eines Sicherheitskonzeptes für ein Vista System sollte geprüft werden, ob der Last Access Zeitstempel geschrieben werden soll, um die Analyse eines Systemmissbrauchs zu erleichtern. Dabei sollten Performanceaspekte in die Bewertung einbezogen werden. Sind andere angemessene Verfahren zur Missbrauchsanalyse vorhanden, kann auf die Aktivierung der Funktion verzichtet werden.

Zum Aktivieren des Last Access Zeitstempels ist der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate auf den Wert "0" zu setzen.

Prüffragen: