M 4.344 Überwachung eines Windows Vista Systems
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Revisor
Rechnersysteme sollten überwacht werden, um die Systemsicherheit und Systemintegrität aufrecht zu erhalten. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.
Die Überwachung eines Windows Vista Systems muss schon in der Planungsphase berücksichtigt werden, damit die relevanten Parameter entsprechend den Anforderungen festgelegt werden können. Damit unter Windows Vista eine Überwachung erfolgen kann, muss diese zunächst über Gruppenrichtlinien oder lokale Einstellungen aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung.
Microsoft Windows Vista unterscheidet in der Ereignisanzeige zwischen "Windows-Protokollen" und "Anwendungs- und Dienstprotokollen".
In den Windows-Protokollen werden folgende Ereignisse überwacht:
- Anwendungsprotokoll: enthält Ereignisse, die von den Anwendungen gemeldet werden. Welche Ereignisse protokolliert werden können, legen die Anwendungsentwickler fest.
- Sicherheitsprotokoll: enthält von Microsoft als sicherheitsrelevant eingestufte Ereignisse. Durch die Konfiguration der Überwachungsrichtlinien kann ein Administrator festlegen, was protokolliert werden soll.
- Setupprotokoll bzw. Einrichtungsprotokoll: enthält Ereignisse, die während der Installation von Anwendungen auftreten.
- Systemprotokoll: enthält Ereignisse, die von Microsoft Windows Systemkomponenten ausgehen.
- Weitergeleitete Ereignisse: nur wenn ein Client explizit zum Sammeln von Ereignissen auf entfernten Computern (Remote Clients) konfiguriert wurde, werden auf einem Microsoft Windows Vista Client "Weitergeleitete Ereignisse" angezeigt. Es handelt sich dabei um Ereignisse der zuvor genannten Protokolle. Die Remote Clients müssen ebenfalls konfiguriert werden, um den Zugriff auf ihre Ereignisanzeige zuzulassen.
Anwendungs- und Dienstprotokolle wurden mit Microsoft Windows Vista eingeführt. In diesen Protokollen werden keine systemweiten Ereignisse gespeichert, sondern Ereignisse, die einzelne Anwendungen oder Komponenten betreffen.
In den folgenden Tabellen werden Empfehlungen zu Einstellungen der Anzeige von Ereignissen in der Ereignisanzeige gegeben. Die Ereignisse erzeugen entsprechende Nachrichten im Sicherheitsprotokoll.
Die Überschriften der folgenden Tabellen geben die Pfade in den Gruppenrichtlinien (Group Policy Objects, GPOs) an. Diese können lokal (lokale XP Gruppenrichtlinie) oder im Active Directory konfiguriert werden (siehe M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien).
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinien"
Parameter | Empfehlung |
---|---|
Prozessverfolgung überwachen | Die Prozessverfolgung ist im Allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden. |
Rechteverwendung überwachen | Fehlgeschlagene Zugriffsversuche sollten überwacht werden. |
Richtlinienänderungen überwachen | Das Verändern von Richtlinieneinstellungen (GPOs) ist eine sicherheitskritische Operation und sollte überwacht werden. |
Systemereignisse überwachen | Systemereignisse sollten überwacht werden. |
Anmeldeereignisse überwachen | Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner (z. B. Arbeitsplatzrechner) sollte aktiviert sein. |
Anmeldeversuche überwachen | Die Protokollierung der Anmeldeversuche sollte aktiviert werden. |
Kontenverwaltung überwachen | Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden. |
Objektzugriff überwachen | Die Objektzugriffe sollten überwacht werden, da dann die Zugriffe zum Beispiel auf Dateien und Registry Keys protokolliert werden. |
Unter Microsoft Windows Vista sind zu den oben genannten noch weitere Einstellungen zur Überwachung möglich.
Die folgenden Tabellen geben Empfehlungen zu Konfigurationseinstellungen zu den Themen:
- "Zuweisen von Benutzerrechten auf die Ereignisanzeige",
- "Einstellungen für das Ereignisprotokoll" Teil 1,
- "Einstellungen für das Ereignisprotokoll" Teil 2 und
- "Sicherheitsoptionen"
für die Überwachung eines Microsoft Windows Vista Systems wieder. Nachfolgend werden Einstellungen beschrieben, die sich unmittelbar auf die Protokollerstellung auswirken und Empfehlungen zur Konfiguration gegeben.
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten"
Parameter | Empfehlung |
---|---|
Verwalten von Überwachungs- und Sicherheitsprotokollen | Dieses Recht ermöglicht:
|
Pfad "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Ereignisprotokolldienst | <Protokoll>"
Parameter | Empfehlung |
---|---|
|
Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht. Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann. Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.326 Planung der Windows XP und Windows Vista Gruppenrichtlinien beziehungsweise M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen. Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden. |
Alte Ereignisse beibehalten | Wenn diese Richtlinie deaktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden die Einträge zu älteren Ereignissen in der Protokolldatei mit Einträgen zu neuen Ereignissen überschrieben. Die Informationen zu diesen älteren Ereignissen stehen dann nicht mehr zur Verfügung. Wenn diese Richtlinie aktiviert ist und Protokolldatei ihre maximale Größe erreicht hat, werden keine Einträge zu den neuen Ereignissen in der Protokolldatei protokolliert. Die Informationen zu den neuen Ereignissen gehen verloren. Es wird empfohlen, die Richtlinie "Alte Ereignisse beibehalten" zu aktivieren.Wenn die Richtlinie "Volles Protokoll automatisch sichern" (siehe weiter unten) genutzt werden soll, um Protokolle automatisch zu archivieren, muss die Richtlinie "Alte Ereignisse beibehalten" aktiviert werden. |
Volles Protokoll automatisch sichern | Wenn diese Richtlinie und die Richtlinie "Alte Ereignisse beibehalten" aktiviert sind, wird die Protokolldatei automatisch geschlossen und umbenannt, wenn sie ihre maximale Größe erreicht hat. Diese Richtlinie sollte aktiviert werden. |
Wenn diese Richtlinie und die Richtlinie "Alte Ereignisse beibehalten" aktiviert sind, wird die Protokolldatei automatisch geschlossen und umbenannt, wenn sie ihre maximale Größe erreicht hat. Diese Richtlinie sollte aktiviert werden.
Die Einstellungen der folgenden Tabelle können nur im Active Directory und nicht über lokale Gruppenrichtlinien konfiguriert werden.
Pfad "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Ereignisprotokolldienst | <Protokoll>"
Parameter | Empfehlungen |
---|---|
|
Je nach Protokollierungskonzept kann gewählt werden zwischen:
Sonst können die Optionen "Ereignisse auf Tagen basierend überschreiben" oder "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" konfiguriert werden. Dabei ist darauf zu achten, dass bei der Wahl von "Ereignisse auf Tagen basierend überschreiben" die Richtlinie "<Protokollname> aufbewahren" mit einer entsprechenden Anzahl von Tagen konfiguriert werden muss. Siehe dazu auch die nächste Konfigurationseinstellung. Wird die Option "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" gewählt, muss sicher gestellt werden, dass die Protokolle manuell gelöscht werden. Wenn diese Löschung nicht erfolgt, werden neue Ereignisse nicht mehr protokolliert, wenn die maximale Protokollgröße erreicht ist. |
|
Mit dieser Richtlinie kann die Zeit konfiguriert werden, die ein Protokoll aufbewahrt wird. Diese Einstellung ist wichtig, wenn die Aufbewahrungsmethode eines Protokolls auf "Ereignisse auf Tagen basierend überschreiben" gesetzt wurde. Die konfigurierte Anzahl von Tagen hängt von der jeweiligen Systemumgebung ab und muss groß genug sein, um eine Sicherung der Protokolldaten zu ermöglichen. Weiterhin muss die "Maximale Protokollgröße" der Protokolle so groß gewählt werden, dass diese nicht überschrieben werden. Siehe dazu auch Tabelle "Einstellungen für das Ereignisprotokoll Teil 1". Um die Protokolle archivieren zu können, muss ein Administrator oder Benutzer über das Privileg "Verwalten von Überwachungs und Sicherheitsprotokollen" verfügen. Siehe dazu auch in der Tabelle "Zuweisen von Benutzerrechten auf Ereignisanzeige". |
|
Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden. |
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen"
Parameter | Empfehlungen |
---|---|
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können | Zu Gewährleistung der Verfügbarkeit sollte diese Option deaktiviert werden. Lediglich bei hohem Schutzbedarf ist diese Option zu aktivieren, da dort Nachweisführung vor Verfügbarkeit geht. Bei Aktivierung sind weitere Maßnahmen zur Aufrechterhaltung des Betriebs erforderlich. |
Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.
Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:
- Der Datenschutzbeauftragte und der Personal- bzw. Betriebsrat sollten frühzeitig in die Planung der Überwachung mit einbezogen werden. Bei einer Überwachung werden meist auch personenbezogene Daten erfasst, um im Falle einer Sicherheitsverletzung den Verursacher zuverlässig feststellen zu können.
- Damit die Überwachungskomponenten Protokolleinträge generieren, muss die Überwachung über die relevanten Gruppenrichtlinieneinstellungen aktiviert werden.
- Microsoft Windows Vista stellt zur Überwachung zusätzlich die Protokoll-Funktionalität "Anwendungs- und Dienstprotokolle" zur Verfügung. Die bereits in älteren Microsoft Windows Versionen vorhandenen Windows-Protokolle sind um "Einrichtung" und "Weitergeleitete Ereignisse" ergänzt worden. Lokal kann für alle Protokolle die Protokollierung aktiviert bzw. deaktiviert werden. Weiterhin sind die Protokollgröße und das Verhalten bei Erreichen der maximalen Protokollgröße konfigurierbar.
- Der Aufbau einer zentralen Sammelstelle von Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte des Vista Herstellers Microsoft oder von Drittherstellern erreicht werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe auch Baustein B 4.2 Netz- und Systemmanagement), so ist es je nach Produkt möglich, die Windows Protokolldaten direkt in dieses Werkzeug zu importieren. Microsoft Windows Vista ermöglicht es, auf einem Vista Client Ereignisse anderer Vista Clients abzurufen.
- Über die Microsoft Windows Vista Überwachungsrichtlinien können Zugriffe unter anderem auf Dateien oder Registry-Schlüssel im Sicherheitsprotokoll aufgezeichnet werden. Dazu sind im Windows-Protokoll für "Weitergeleitete Ereignisse" entsprechende Abonnements zu konfigurieren. Abonnement ist eine neue Funktionalität unter Windows Vista.
In einem Abonnement wird konfiguriert, welche Ereignisse gesammelt werden sollen. In einer Standardinstallation werden die Daten der weitergeleiteten Ereignisse über http übertragen. Der Datentransport per https ist ebenfalls möglich und sollte gewählt werden.
Die Microsoft Windows Vista Clients müssen konfiguriert werden, damit sie den Zugriff auf die entsprechenden Daten ermöglichen. Das kann mit Hilfe des Werkzeugs winrm erfolgen. Dieses sorgt dafür, dass entsprechende Ports in der Windows Vista Firewall geöffnet werden.
Auf dem Microsoft Windows Vista Client, auf dem die Auswertung durchgeführt wird, müssen Abonnements eingerichtet werden. Das kann unter Weitergeleitete Ereignisse | Eigenschaften | Abonnements konfiguriert werden. - Einzelne Überwachungsrichtlinien können unter Microsoft Windows Vista über Gruppenrichtlinien konfiguriert werden. Für eine feinere Konfiguration der Überwachung als Ergänzung zu den Gruppenrichtlinien können mit dem Werkzeug auditpol.exe Einstellungen vorgenommen werden.
- Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Zusätzlich führt eine intensive Überwachung zu Leistungsverlusten. Dadurch kann im Extremfall ein System so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst werden. Es ist zu beachten, dass die Anpassung auch Einfluss auf das gesamte Überwachungskonzept haben kann, da bestimmte Überwachungsaufgaben nicht mehr durchführbar sind. Dies gilt insbesondere dann, wenn zusätzliche Produkte eingesetzt werden, die hohe Anforderungen an die protokollierten Ereignisse stellen. Dies sind zum Beispiel Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.
Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD-Replikation, mit der Konfigurationsänderungen an die Domänencontroller einer Domäne verteilt werden. Dazu können sowohl AD-Werkzeuge als auch das ADS-Log (Active Directory Service) und das FRS-Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.
Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Der Dienst Windows-Zeitgeber ist für die Zeitsynchronisierung verantwortlich und darf daher nicht deaktiviert werden.
In einer Active-Directory-Umgebung kann ein Domänencontroller als Zeitgeber für die Domänenmitglieder genutzt werden. Ein hierarchischer Aufbau des Windows Zeitdienstes ist möglich.
Die Domänencontroller nutzen den Primären-Domänencontroller (PDC) Betriebsmaster oder einen Domänencontroller der übergeordneten Domäne als Zeitquelle. Die PDC-Betriebsmaster nutzen den PDC-Betriebsmaster der übergeordneten Domäne als Zeitquelle. Der PDC der Stammdomäne ist der autorisierende Zeitgeber. Ein Domänencontroller kann mit dem Kommando
net time /setsntp:<Zeitquelle>
so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.
Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time konfiguriert werden, dass sie eine andere Zeitquelle verwenden.
Prüffragen:
- Ist die Überwachung in den Gruppenrichtlinien bzw. den lokalen Einstellungen aktiviert worden?
- Wurde ein bedarfsgerechtes Überwachungskonzept entworfen und umgesetzt?
- Werden wichtige Systemereignisse protokolliert?
- Werden die Protokolldateien bei Erreichen der Maximalgröße gesichert?
- Wurden Überwachungseinstellungen für wichtige Systemdateien und Registry-Einträge konfiguriert?
- Wird die Synchronisierung der Systemzeit mittels einer vertrauenswürdigen Zeitquelle sichergestellt?