M 4.344 Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Revisor

Rechnersysteme sollten überwacht werden, um die Systemsicherheit und Systemintegrität aufrecht zu erhalten. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.

Die Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen muss schon in der Planungsphase berücksichtigt und relevante Parameter in einem Überwachungskonzept festgehalten werden. Damit unter Windows Vista und Windows 7 eine Überwachung erfolgen kann, muss diese zunächst über Gruppenrichtlinien oder lokale Einstellungen aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung.

Microsoft Windows Vista, Windows 7 und Windows Server 2008 unterscheiden in der Ereignisanzeige zwischen "Windows-Protokollen" und "Anwendungs- und Dienstprotokollen".

In den Windows-Protokollen werden folgende Ereignisse überwacht:

Es ist zu überlegen, einen Sammel-Client zur zentralen Kontrolle der Ereignisprotokolle einzurichten, ähnlich eines Syslog-Servers. Diese Funktion kann auch von Server-Produkten von Microsoft oder von Tools anderer Hersteller, wie Virenschutz-Software für den professionellen Einsatz, übernommen werden.

Anwendungs- und Dienstprotokolle wurden mit Microsoft Windows Vista eingeführt. In diesen Protokollen werden keine systemweiten Ereignisse gespeichert, sondern Ereignisse, die einzelne Anwendungen oder Komponenten betreffen.

In den folgenden Tabellen werden Empfehlungen zu Einstellungen der Anzeige von Ereignissen in der Ereignisanzeige gegeben. Die Ereignisse erzeugen entsprechende Nachrichten im Sicherheitsprotokoll.

Die Überschriften der folgenden Tabellen geben die Pfade in den Gruppenrichtlinien (Group Policy Objects, GPOs) an. Diese können lokal (lokale XP Gruppenrichtlinie) oder im Active Directory konfiguriert werden (siehe M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ).

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinie"

Parameter Empfehlung
Prozessnachverfolgung überwachen Die Prozessverfolgung ist im Allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden.
Rechteverwendung überwachen Fehlgeschlagene Zugriffsversuche sollten überwacht werden. (Fehler)
Richtlinienänderungen überwachen Das Verändern von Richtlinieneinstellungen (GPOs) ist eine sicherheitskritische Operation und sollte überwacht werden. (Erfolg)
Systemereignisse überwachen Systemereignisse sollten überwacht werden. (Erfolg)
Anmeldeereignisse überwachen Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner ( z. B. Arbeitsplatzrechner) sollte aktiviert sein. (Erfolg). Auf Domänencontrollern oder Systemen mit hohem Schutzbedarf sollten auch fehlgeschlagene Ereignisse überwacht werden. (Erfolg und Fehler)
Anmeldeversuche überwachen Die Protokollierung der Anmeldeversuche sollte aktiviert werden. Die Einstellungen sollten analog der Einstellung Anmeldeereignisse überwachen gewählt werden.
Kontenverwaltung überwachen Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden. (Erfolg und Fehler)
Objektzugriff überwachen Fehlgeschlagene Objektzugriffe sollten nur auf Systemen mit hohem Schutzbedarf oder zur Fehlerbehebung überwacht werden. Bedingt durch die Menge der Events sollten erfolgreiche Objektzugriffe nur für eine geringe Anzahl wichtiger Objekte aktiviert werden.
Verzeichnisdienstzugriff überwachen Die Verzeichnisdienstzugriffe sollten überwacht werden. Dabei sollte mindestens die Erfassung von Fehlern bei den Zugriffen aufgezeichnet werden. (Fehler)

Unter Microsoft Windows Vista, Windows 7 und Windows Server 2008 sind zu den oben genannten noch weitere Einstellungen zur Überwachung möglich.

Die folgenden Tabellen geben Empfehlungen zu Konfigurationseinstellungen zu den Themen:

für die Überwachung von Microsoft Windows Vista-, Windows 7- und Windows Server 2008-Systemen wieder.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten"

Parameter Empfehlung
Verwalten von Überwachungs- und Sicherheitsprotokollen Dieses Recht ermöglicht:
  • die Konfiguration der Audit-Einstellungen für die einzelnen Objekte (Dateien, Registry, Active Directory),
  • das Ansehen bzw. Löschen des Sicherheitsprotokolls.
Welcher Benutzergruppe ( bzw. -gruppen) dieses Recht eingeräumt wird, hängt vom Überwachungskonzept ab. Prinzipiell sollte dieses Recht restriktiv vergeben werden, zum Beispiel an die Gruppe der Administratoren. Es sollte dabei jedoch beachtet werden, dass:
  • auch zur Diagnose und Behebung von nicht sicherheitsrelevanten Problemen der Zugriff auf das Sicherheitsprotokoll notwendig sein kann
  • Administratoren sich dieses Benutzerrecht auch selbst einräumen können, wenn es ihnen entzogen wird. Es empfiehlt sich daher, diesen Vorgang zu protokollieren (Option Computer Richtlinien / Lokale Richtlinien / Überwachungsrichtlinien | Rechteverwendung überwachen).

Pfad "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Ereignisprotokolldienst | <Protokoll>"

Parameter Empfehlung
  • Maximale Protokollgröße (Anwendungsprotokoll)
  • Maximale Protokollgröße (Setupprotokoll)
  • Maximale Protokollgröße (Sicherheitsprotokoll)
  • Maximale Größe (Systemprotokoll)
Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht. Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann. Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien beziehungsweise M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen . Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden.
Alte Ereignisse beibehalten Wenn diese Richtlinie deaktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden die Einträge zu älteren Ereignissen in der Protokolldatei mit Einträgen zu neuen Ereignissen überschrieben. Die Informationen zu diesen älteren Ereignissen stehen dann nicht mehr zur Verfügung. Wenn diese Richtlinie aktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden keine Einträge zu den neuen Ereignissen in der Protokolldatei protokolliert. Die Informationen zu den neuen Ereignissen gehen verloren. Es wird empfohlen, die Richtlinie "Alte Ereignisse beibehalten" zu aktivieren. Wenn die Richtlinie "Volles Protokoll automatisch sichern" (siehe weiter unten) genutzt werden soll, um Protokolle automatisch zu archivieren, muss die Richtlinie "Alte Ereignisse beibehalten" aktiviert werden.
Volles Protokoll automatisch sichern Wenn diese Richtlinie und die Richtlinie "Alte Ereignisse beibehalten" aktiviert sind, wird die Protokolldatei automatisch geschlossen und umbenannt, wenn sie ihre maximale Größe erreicht hat. Diese Richtlinie sollte aktiviert werden.

Die Einstellungen der folgenden Tabelle können nur im Active Directory und nicht über lokale Gruppenrichtlinien konfiguriert werden.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Ereignisprotokoll"

Parameter Empfehlung
  • Aufbewahrungsmethode des Anwendungsprotokolls
  • Aufbewahrungsmethode des Sicherheitsprotokolls
  • Aufbewahrungsmethode für das Setupprotokoll
  • Aufbewahrungsmethode des Systemprotokolls
Je nach Protokollierungskonzept kann gewählt werden zwischen:
  • Ereignisse auf Tagen basierend überschreiben,
  • Ereignisse bei Bedarf überschreiben und
  • Ereignisse nicht überschreiben (Protokoll manuell aufräumen).
Wenn keine Protokollierung erfolgen soll oder die Protokolle nicht ausgewertet werden sollen, kann die Option "Ereignisse bei Bedarf überschreiben" gewählt werden. Sonst können die Optionen "Ereignisse auf Tagen basierend überschreiben" oder "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" konfiguriert werden. Dabei ist darauf zu achten, dass bei der Wahl von "Ereignisse auf Tagen basierend überschreiben" die Richtlinie "<Protokollname> aufbewahren" mit einer entsprechenden Anzahl von Tagen konfiguriert werden muss. Siehe dazu auch die nächste Konfigurationseinstellung. Wird die Option "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" gewählt, muss sichergestellt werden, dass die Protokolle manuell gelöscht werden. Wenn diese Löschung nicht erfolgt, werden neue Ereignisse nicht mehr protokolliert, sobald die maximale Protokollgröße erreicht ist.
  • Anwendungsprotokoll-Aufbewahrung
  • Sicherheitsprotokoll-Aufbewahrung
  • Setupprotokoll-Aufbewahrung
  • Systemprotokoll-Aufbewahrung
Mit dieser Richtlinie kann die Zeit konfiguriert werden, für die ein Protokoll aufbewahrt wird. Diese Einstellung ist wichtig, wenn die Aufbewahrungsmethode eines Protokolls auf "Ereignisse auf Tagen basierend überschreiben" gesetzt wurde. Die konfigurierte Anzahl von Tagen hängt von der jeweiligen Systemumgebung ab und muss groß genug sein, um eine Sicherung der Protokolldaten zu ermöglichen. Weiterhin muss die "Maximale Protokollgröße" der Protokolle so groß gewählt werden, dass diese nicht überschrieben werden. Siehe dazu auch Tabelle "Einstellungen für das Ereignisprotokoll Teil 1". Um die Protokolle archivieren zu können, muss ein Administrator oder Benutzer über das Privileg "Verwalten von Überwachungs- und Sicherheitsprotokollen" verfügen. Siehe dazu auch in der Tabelle "Zuweisen von Benutzerrechten auf Ereignisanzeige".
  • Lokalen Gastkontozugriff auf das Setupprotokoll verhindern
  • Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Systemprotokoll verhindern
Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen"

Parameter Empfehlung
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können Zur Gewährleistung der Verfügbarkeit sollte diese Option deaktiviert werden. Lediglich bei hohem Schutzbedarf ist diese Option zu aktivieren, da dort Nachweisführung vor Verfügbarkeit geht. Bei Aktivierung sind weitere Maßnahmen zur Aufrechterhaltung des Betriebs erforderlich.

Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.

Bei Einsatz von DirectAccess ab Windows 7 sollte auf dem Client eine Protokollierung der Verbindungsaktivitäten des Tunnels eingerichtet werden (siehe M 5.123 Absicherung der Netzkommunikation unter Windows ). Hierfür müssen unter anderem Leistungsindikatoren von perfmon.exe abgefragt und Sammlungssätze erstellt werden. Als Speicherort der Sammlungssätze sollte ein sicheres Systemverzeichnis, wie %systemdrive% \perflogs \System \Diagnostics verwendet werden. Die optimale Größe der Log-Dateien muss durch regelmäßige Überprüfung an die aktuellen Bedingungen des IT -Verbundes angepasst werden. Die Verbindungsinformationen sollten mindestens eine Woche lang rückwirkend nachvollziehbar sein, um Fehlfunktionen und mögliche Angriffsmuster identifizieren zu können.

Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.

Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:

Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD-Replikation, mit der Konfigurationsänderungen an die Domänencontroller einer Domäne verteilt werden. Dazu können sowohl AD-Werkzeuge als auch das ADS-Log (Active Directory Service) und das FRS-Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.

Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Der Dienst Windows-Zeitgeber ist für die Zeitsynchronisierung verantwortlich und darf daher nicht deaktiviert werden.

In einer Active Directory-Umgebung kann ein Domänencontroller als Zeitgeber für die Domänenmitglieder genutzt werden. Ein hierarchischer Aufbau des Zeitdienstes von Windows ist möglich.

Die Domänencontroller nutzen den Primären Domänencontroller (PDC) Betriebsmaster oder einen Domänencontroller der übergeordneten Domäne als Zeitquelle. Die PDC-Betriebsmaster nutzen den PDC-Betriebsmaster der übergeordneten Domäne als Zeitquelle. Der PDC der Stammdomäne ist der autorisierende Zeitgeber. Ein Domänencontroller kann mit dem Kommando

net time /setsntp:<Zeitquelle>

so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.

Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time konfiguriert werden, dass sie eine andere Zeitquelle verwenden.

Prüffragen: