M 4.342 Aktivierung des Last Access Zeitstempels unter Windows Vista
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator
Das Dateisystem NTFS verwaltet drei Zeitstempel, um Änderungen am Dateisystem nachvollziehen zu können. Diese Zeitstempel werden auch MAC-Zeitstempel genannt. Der Begriff MAC-Time steht unter Windows für die Modification-, Access- and Creation-Time einer Datei im NTFS-Dateisystem.
- Die Modification-Time (Zeitpunkt der letzten Modifikation) ist der Zeitpunkt, zu dem zum letzten Mal schreibend auf eine Datei zugegriffen wurde. Dieser Zeitstempel wird aktualisiert, wenn sich der Inhalt der Datei verändert.
- Last Access-Time (Zeitpunkt des letzten Zugriffs) ist der Zeitpunkt, zu dem eine Datei das letzte Mal gelesen oder ausgeführt wurde. Dieser Zeitstempel wird aktualisiert, wenn Metadaten oder Dateiinhalte angezeigt werden. Hierbei ist es unerheblich, ob die Datei gespeichert oder anderweitig verändert wurde. Wird die Datei geöffnet, aufgerufen oder sonstwie betrachtet, findet sich dies im Zeitstempel wieder.
- Creation Time (Zeitpunkt der Erstellung) ist der Zeitpunkt, zu dem eine Datei neu oder durch Kopieren erstellt wurde.
Muss während der Untersuchung eines Sicherheitsvorfalls (siehe Baustein B 1.8 Behandlung von Sicherheitsvorfällen) ein Datenträger mit NTFS analysiert werden, hilft eine Analyse der MAC-Times um herauszufinden, welche Dateien während des vermutlichen Missbrauchs gelesen, geschrieben, ausgeführt oder verändert wurden. Dies gibt Hinweise darauf, welche Konfigurationsdateien beziehungsweise welche Systemdateien verändert wurden, um zum Beispiel eine Hintertür in das System zu installieren. Zusätzlich kann man die, während des angenommenen Angriffszeitpunkts veränderten, Dateien analysieren und unter Umständen erfahren, welche Methode zum Systemeinbruch angewandt wurde. Durch die Erstellung von so genannten Timelines kann recht genau bestimmt werden, zu welchem Zeitpunkt eine Datei auf ein System kopiert wurde und ob sie in der Folge betrachtet beziehungsweise aufgerufen wurde.
Unter Windows Vista ist das Aktualisieren des Last Access Zeitstempels in der Registry standardmäßig deaktiviert, da bei einer ungünstigen Dateisystemstruktur Leistungseinbußen möglich wären. Im Rahmen der Erstellung eines Sicherheitskonzeptes für ein Vista System sollte geprüft werden, ob der Last Access Zeitstempel geschrieben werden soll, um die Analyse eines Systemmissbrauchs zu erleichtern. Dabei sollten Performanceaspekte in die Bewertung einbezogen werden. Sind andere angemessene Verfahren zur Missbrauchsanalyse vorhanden, kann auf die Aktivierung der Funktion verzichtet werden.
Zum Aktivieren des Last Access Zeitstempels ist der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate auf den Wert "0" zu setzen.
Prüffragen:
- Wurde bei der Erstellung des Sicherheitskonzeptes für Vista Systeme geprüft, ob man auf den Last Access Timestamp verzichten kann?
- Wurden bei dieser Prüfung auch Performanceaspekte in die Bewertungen einbezogen?
- Gibt es andere Maßnahmen, die den Missbrauch eines Vista-PC nachvollziehbar machen?