M 4.312 Überwachung von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT, Revisor

Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses kontinuierlich zu überwachen. Dafür sollten unter anderem die Sicherheitseinstellungen und die Protokolldateien eines Servers regelmäßig überprüft werden. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept ist dabei auch als Teil des Sicherheitskonzeptes anzusehen.

Komplexe Systeme wie Verzeichnisdienste können dabei in der Regel nicht mehr durch einzelne Administratoren überwacht werden, sondern die Kontrolle muss automatisch durch entsprechende Systemkomponenten oder Produkte von Dritt-Herstellern erfolgen. Dabei ist auch die Konfiguration der Systemüberwachung regelmäßig an das sich verändernde System anzupassen.

Zur Systemüberwachung eines Verzeichnisdienstes sollten geeignete Werkzeuge eingesetzt werden. Wenn es sich um eine Client-Server-Verbindung handelt, müssen für den Zugriff auf die Werkzeuge geeignete Authentisierungsmechanismen vorhanden sein. Der Zugreifende darf nur nach erfolgreicher Authentisierung Zugriff auf die Daten erhalten, wobei die für ihn konfigurierten Rechte gelten. Der Zugriff auf alle Administrationswerkzeuge sollte für normale Benutzer unterbunden werden. Grundsätzlich sollten diese Zugriffe nur mit einer ausreichenden Verschlüsselung der Kommunikationsverbindung betrieben werden.

Je nach Verzeichnisdienst und den zur Verfügung stehenden Werkzeugen können sämtliche Verzeichnisdienst-Ereignisse in einer eigenen Protokolldatei gespeichert werden. Dadurch sind die Ereignisse gezielter zu erkennen und auszuwerten, wie wenn die Verzeichnisdienst-Ereignisse in der globalen Protokolldatei des Betriebssystems gespeichert werden.

Im Rahmen der Überwachung sind folgende Aspekte zu beachten:

Im Rahmen der Überwachung der Systemfunktionen empfiehlt sich außerdem eine regelmäßige Kontrolle der Verzeichnisdienst-Replikation, durch die Konfigurationsänderungen weitergeleitet werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden und so z. B. einem Benutzer zu viele Rechte zugestanden werden.

Prüffragen: