M 4.344 Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Revisor
Rechnersysteme sollten überwacht werden, um die Systemsicherheit und Systemintegrität aufrecht zu erhalten. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.
Die Überwachung von Windows Vista-, Windows 7 und Windows Server 2008-Systemen muss schon in der Planungsphase berücksichtigt und relevante Parameter in einem Überwachungskonzept festgehalten werden. Damit unter Windows Vista und Windows 7 eine Überwachung erfolgen kann, muss diese zunächst über Gruppenrichtlinien oder lokale Einstellungen aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung.
Microsoft Windows Vista, Windows 7 und Windows Server 2008 unterscheiden in der Ereignisanzeige zwischen "Windows-Protokollen" und "Anwendungs- und Dienstprotokollen".
In den Windows-Protokollen werden folgende Ereignisse überwacht:
- Anwendungsprotokoll: enthält Ereignisse, die von den Anwendungen gemeldet werden. Welche Ereignisse protokolliert werden können, legen die Anwendungsentwickler fest. Dieses Protokoll trägt unter Windows 7 den Namen: Anwendung.
- Sicherheitsprotokoll: enthält von Microsoft als sicherheitsrelevant eingestufte Ereignisse. Durch die Konfiguration der Überwachungsrichtlinien kann ein Administrator festlegen, was protokolliert werden soll.
- Setupprotokoll oder Einrichtungsprotokoll: enthält Ereignisse, die während der Installation von Anwendungen auftreten. Dieses Protokoll trägt unter Windows 7 den Namen: Installation.
- Systemprotokoll: enthält Ereignisse, die von Microsoft Windows Systemkomponenten ausgehen. Dieses Protokoll trägt unter Windows 7 den Namen: System.
- Weitergeleitete Ereignisse: nur wenn ein Client explizit zum Sammeln von Ereignissen auf entfernten Computern (Remote Clients) konfiguriert wurde, werden auf einem Microsoft Windows Vista oder Windows 7 Client "Weitergeleitete Ereignisse" angezeigt. Es handelt sich dabei um Ereignisse der zuvor genannten Protokolle. Die Remote Clients müssen ebenfalls konfiguriert werden, um den Zugriff auf ihre Ereignisanzeige zuzulassen.
Es ist zu überlegen, einen Sammel-Client zur zentralen Kontrolle der Ereignisprotokolle einzurichten, ähnlich eines Syslog-Servers. Diese Funktion kann auch von Server-Produkten von Microsoft oder von Tools anderer Hersteller, wie Virenschutz-Software für den professionellen Einsatz, übernommen werden.
Anwendungs- und Dienstprotokolle wurden mit Microsoft Windows Vista eingeführt. In diesen Protokollen werden keine systemweiten Ereignisse gespeichert, sondern Ereignisse, die einzelne Anwendungen oder Komponenten betreffen.
In den folgenden Tabellen werden Empfehlungen zu Einstellungen der Anzeige von Ereignissen in der Ereignisanzeige gegeben. Die Ereignisse erzeugen entsprechende Nachrichten im Sicherheitsprotokoll.
Die Überschriften der folgenden Tabellen geben die Pfade in den Gruppenrichtlinien (Group Policy Objects, GPOs) an. Diese können lokal (lokale XP Gruppenrichtlinie) oder im Active Directory konfiguriert werden (siehe M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ).
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinie"
Parameter | Empfehlung |
---|---|
Prozessnachverfolgung überwachen | Die Prozessverfolgung ist im Allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden. |
Rechteverwendung überwachen | Fehlgeschlagene Zugriffsversuche sollten überwacht werden. (Fehler) |
Richtlinienänderungen überwachen | Das Verändern von Richtlinieneinstellungen (GPOs) ist eine sicherheitskritische Operation und sollte überwacht werden. (Erfolg) |
Systemereignisse überwachen | Systemereignisse sollten überwacht werden. (Erfolg) |
Anmeldeereignisse überwachen | Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner ( z. B. Arbeitsplatzrechner) sollte aktiviert sein. (Erfolg). Auf Domänencontrollern oder Systemen mit hohem Schutzbedarf sollten auch fehlgeschlagene Ereignisse überwacht werden. (Erfolg und Fehler) |
Anmeldeversuche überwachen | Die Protokollierung der Anmeldeversuche sollte aktiviert werden. Die Einstellungen sollten analog der Einstellung Anmeldeereignisse überwachen gewählt werden. |
Kontenverwaltung überwachen | Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden. (Erfolg und Fehler) |
Objektzugriff überwachen | Fehlgeschlagene Objektzugriffe sollten nur auf Systemen mit hohem Schutzbedarf oder zur Fehlerbehebung überwacht werden. Bedingt durch die Menge der Events sollten erfolgreiche Objektzugriffe nur für eine geringe Anzahl wichtiger Objekte aktiviert werden. |
Verzeichnisdienstzugriff überwachen | Die Verzeichnisdienstzugriffe sollten überwacht werden. Dabei sollte mindestens die Erfassung von Fehlern bei den Zugriffen aufgezeichnet werden. (Fehler) |
Unter Microsoft Windows Vista, Windows 7 und Windows Server 2008 sind zu den oben genannten noch weitere Einstellungen zur Überwachung möglich.
Die folgenden Tabellen geben Empfehlungen zu Konfigurationseinstellungen zu den Themen:
- "Zuweisen von Benutzerrechten auf die Ereignisanzeige",
- "Einstellungen für das Ereignisprotokoll" Teil 1,
- "Einstellungen für das Ereignisprotokoll" Teil 2 und
- "Sicherheitsoptionen"
für die Überwachung von Microsoft Windows Vista-, Windows 7- und Windows Server 2008-Systemen wieder.
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten"
Parameter | Empfehlung |
---|---|
Verwalten von Überwachungs- und Sicherheitsprotokollen | Dieses Recht ermöglicht:
|
Pfad "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Ereignisprotokolldienst | <Protokoll>"
Parameter | Empfehlung |
---|---|
|
Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht. Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann. Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien beziehungsweise M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen . Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden. |
Alte Ereignisse beibehalten | Wenn diese Richtlinie deaktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden die Einträge zu älteren Ereignissen in der Protokolldatei mit Einträgen zu neuen Ereignissen überschrieben. Die Informationen zu diesen älteren Ereignissen stehen dann nicht mehr zur Verfügung. Wenn diese Richtlinie aktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden keine Einträge zu den neuen Ereignissen in der Protokolldatei protokolliert. Die Informationen zu den neuen Ereignissen gehen verloren. Es wird empfohlen, die Richtlinie "Alte Ereignisse beibehalten" zu aktivieren. Wenn die Richtlinie "Volles Protokoll automatisch sichern" (siehe weiter unten) genutzt werden soll, um Protokolle automatisch zu archivieren, muss die Richtlinie "Alte Ereignisse beibehalten" aktiviert werden. |
Volles Protokoll automatisch sichern | Wenn diese Richtlinie und die Richtlinie "Alte Ereignisse beibehalten" aktiviert sind, wird die Protokolldatei automatisch geschlossen und umbenannt, wenn sie ihre maximale Größe erreicht hat. Diese Richtlinie sollte aktiviert werden. |
Die Einstellungen der folgenden Tabelle können nur im Active Directory und nicht über lokale Gruppenrichtlinien konfiguriert werden.
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Ereignisprotokoll"
Parameter | Empfehlung |
---|---|
|
Je nach Protokollierungskonzept kann gewählt werden zwischen:
|
|
Mit dieser Richtlinie kann die Zeit konfiguriert werden, für die ein Protokoll aufbewahrt wird. Diese Einstellung ist wichtig, wenn die Aufbewahrungsmethode eines Protokolls auf "Ereignisse auf Tagen basierend überschreiben" gesetzt wurde. Die konfigurierte Anzahl von Tagen hängt von der jeweiligen Systemumgebung ab und muss groß genug sein, um eine Sicherung der Protokolldaten zu ermöglichen. Weiterhin muss die "Maximale Protokollgröße" der Protokolle so groß gewählt werden, dass diese nicht überschrieben werden. Siehe dazu auch Tabelle "Einstellungen für das Ereignisprotokoll Teil 1". Um die Protokolle archivieren zu können, muss ein Administrator oder Benutzer über das Privileg "Verwalten von Überwachungs- und Sicherheitsprotokollen" verfügen. Siehe dazu auch in der Tabelle "Zuweisen von Benutzerrechten auf Ereignisanzeige". |
|
Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden. |
Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen"
Parameter | Empfehlung |
---|---|
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können | Zur Gewährleistung der Verfügbarkeit sollte diese Option deaktiviert werden. Lediglich bei hohem Schutzbedarf ist diese Option zu aktivieren, da dort Nachweisführung vor Verfügbarkeit geht. Bei Aktivierung sind weitere Maßnahmen zur Aufrechterhaltung des Betriebs erforderlich. |
Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.
Bei Einsatz von DirectAccess ab Windows 7 sollte auf dem Client eine Protokollierung der Verbindungsaktivitäten des Tunnels eingerichtet werden (siehe M 5.123 Absicherung der Netzkommunikation unter Windows ). Hierfür müssen unter anderem Leistungsindikatoren von perfmon.exe abgefragt und Sammlungssätze erstellt werden. Als Speicherort der Sammlungssätze sollte ein sicheres Systemverzeichnis, wie %systemdrive% \perflogs \System \Diagnostics verwendet werden. Die optimale Größe der Log-Dateien muss durch regelmäßige Überprüfung an die aktuellen Bedingungen des IT -Verbundes angepasst werden. Die Verbindungsinformationen sollten mindestens eine Woche lang rückwirkend nachvollziehbar sein, um Fehlfunktionen und mögliche Angriffsmuster identifizieren zu können.
Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.
Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:
- Der Datenschutzbeauftragte und der Personal- oder Betriebsrat sollten frühzeitig in die Planung der Überwachung mit einbezogen werden. Bei einer Überwachung werden meist auch personenbezogene Daten erfasst, um im Falle einer Sicherheitsverletzung den Verursacher zuverlässig feststellen zu können.
- Damit die Überwachungskomponenten Protokolleinträge generieren, muss die Überwachung über die relevanten Gruppenrichtlinieneinstellungen aktiviert werden.
- Microsoft Windows Vista, Windows 7 und Windows Server 2008 stellen zur Überwachung zusätzlich die Protokoll-Funktionalität "Anwendungs- und Dienstprotokolle" zur Verfügung. Die bereits in älteren Microsoft Windows Versionen vorhandenen Windows-Protokolle sind um "Einrichtung" und "Weitergeleitete Ereignisse" ergänzt worden. Lokal kann für alle Protokolle die Protokollierung aktiviert oder deaktiviert werden. Weiterhin sind die Protokollgröße und das Verhalten bei Erreichen der maximalen Protokollgröße konfigurierbar.
- Der Aufbau einer zentralen Sammelstelle von Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte von Microsoft oder von Drittherstellern erreicht werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe auch B 4.2 Netz- und Systemmanagement ), so ist es je nach Produkt möglich, die Windows Protokolldaten direkt in dieses Werkzeug zu importieren. Microsoft Windows ab Version Vista ermöglicht es, auf einem weiteren Windows-System ab Version Vista Ereignisse anderer Windows-Systeme abzurufen.
- Sollte eine zentrale Sammelstelle von Protokolldateien auf Windows Vista oder folgenden Versionen eingesetzt werden, so sind sogenannte Abonnements zu konfigurieren. Vor der Erstellung von Abonnements müssen jedoch sowohl der Sammlungscomputer als auch der Quellcomputer für das Senden und Empfangen von Ereignissen entsprechend konfiguriert sein. Die Ereignisse der konfigurierten Abonnements werden auf dem Sammlungscomputer unter "Weitergeleitete Ereignisse" angezeigt. Das Abonnement ist eine neue Funktionalität ab Windows Vista.
In einem Abonnement wird konfiguriert, welche Ereignisse gesammelt werden sollen. In einer Standardinstallation werden die Daten der weitergeleiteten Ereignisse über HTTP übertragen. Der Datentransport per HTTPS ist ebenfalls möglich und sollte gewählt werden.
Die Microsoft Windows Vista-, Windows 7- und Windows Server 2008- Systeme müssen konfiguriert werden, damit sie den Fernzugriff auf die entsprechenden Daten ermöglichen. Das kann mit Hilfe des Werkzeugs winrm erfolgen. Es sorgt dafür, dass entsprechende Ports in der Windows Firewall geöffnet werden.
Auf dem System, auf dem die Auswertung durchgeführt wird, müssen Abonnements eingerichtet werden. Das kann unter Weitergeleitete Ereignisse | Eigenschaften | Abonnements konfiguriert werden. - Einzelne Überwachungsrichtlinien können unter Microsoft Windows ab Version Vista über Gruppenrichtlinien konfiguriert werden. Eine feinere Konfiguration der Überwachung als Ergänzung zu den Gruppenrichtlinien ist mit dem Werkzeug auditpol.exe möglich.
- Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Zusätzlich führt eine intensive Überwachung zu Leistungsverlusten. Dadurch kann im Extremfall ein System so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst werden. Es ist zu beachten, dass die Anpassung auch Einfluss auf das gesamte Überwachungskonzept haben kann, da bestimmte Überwachungsaufgaben nicht mehr durchführbar sind. Dies gilt insbesondere dann, wenn zusätzliche Produkte eingesetzt werden, die hohe Anforderungen an die protokollierten Ereignisse stellen. Dies sind zum Beispiel Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.
Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD-Replikation, mit der Konfigurationsänderungen an die Domänencontroller einer Domäne verteilt werden. Dazu können sowohl AD-Werkzeuge als auch das ADS-Log (Active Directory Service) und das FRS-Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.
Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Der Dienst Windows-Zeitgeber ist für die Zeitsynchronisierung verantwortlich und darf daher nicht deaktiviert werden.
In einer Active Directory-Umgebung kann ein Domänencontroller als Zeitgeber für die Domänenmitglieder genutzt werden. Ein hierarchischer Aufbau des Zeitdienstes von Windows ist möglich.
Die Domänencontroller nutzen den Primären Domänencontroller (PDC) Betriebsmaster oder einen Domänencontroller der übergeordneten Domäne als Zeitquelle. Die PDC-Betriebsmaster nutzen den PDC-Betriebsmaster der übergeordneten Domäne als Zeitquelle. Der PDC der Stammdomäne ist der autorisierende Zeitgeber. Ein Domänencontroller kann mit dem Kommando
net time /setsntp:<Zeitquelle>
so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.
Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time konfiguriert werden, dass sie eine andere Zeitquelle verwenden.
Prüffragen:
- Wird die Synchronisierung der Systemzeit mittels einer zuverlässigen Zeitquelle sichergestellt?
- Wurde ein bedarfsgerechtes Überwachungskonzept für IT-Systeme entworfen und umgesetzt?
- Ist die Überwachung in den Gruppenrichtlinien bzw. den lokalen Einstellungen aktiviert worden?
- Wurden Überwachungseinstellungen für wichtige Systemdateien und Registry-Einträge konfiguriert?
- Werden wichtige Systemereignisse protokolliert?
- Werden die Protokolldateien bei Erreichen der Maximalgröße gesichert?