M 2.489 Planung der Systemüberwachung unter Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Revisor

Neuerungen von Windows Server 2008

Bei Windows-Servern müssen die Grundsätze der Überwachung und Protokollierung angewendet werden, siehe M 5.9 Protokollierung am Server. Mit Einführung von Windows Vista und Windows Server 2008 wurde das Ereignisprotokollmodul von Grund auf neu entwickelt. Neben der Erhöhung der Protokolldateigröße auf nunmehr maximal 1 Petabyte wurde auch der Schreibdurchsatz bei der Erstellung der Protokolle erhöht. Grundsätzlich ist das Ereignisprotokollmodul nun in der Lage, Zehntausende von Ereignissen pro Sekunde zu verarbeiten und zu speichern. Gleichzeitig wurde das Format der Einträge von.evt nun in das XML-Format .evtx geändert.

Neben diesen Veränderungen und der Einführung neuer Ereignisse gibt es zwei wesentliche zu beachtende Neuerungen:

Planung

Grundsätzlich sollten während der Planungsphase die folgenden Maßnahmen mitberücksichtigt werden, da sie die Basis der für Windows Server 2008 relevanten Konfigurationen darstellen:

Seit Windows Server 2008 ist es möglich, Kopien zuvor definierter Ereignisse auf einem zentralen Windows-System zu sammeln und zu konsolidieren. Vor der notwendigen Konfiguration sowohl der weiterleitenden als auch der sammelnden Computer sollten grundsätzliche Aspekte betrachtet werden.

Um die notwendigen Schritte zur Konfiguration der Überwachung einzuleiten, müssen auf Quellcomputer und Sammlungscomputer die notwendigen Dienste aktiviert werden. Es muss festgelegt, welche Ereignisse von Windows-Servern auf das zentrale System weitergeleitet werden. Erst danach können sogenannte Abonnements erstellt werden. Durch Abonnements sind die zu überwachenden Quellcomputer, der Ereignistyp oder auch Abfragefilter festzulegen. Auch erweiterte Abonnementeinstellungen, wie zum Beispiel Bandbreitenoptimierung, sind danach möglich. Es muss geklärt werden, ob der Abonnententyp Sammlungs- oder Quellcomputer initiiert ist. Unter Umständen müssen vor diesem Hintergrund Firewallregeln angepasst werden.

Für die Betriebsphase nach erfolgter Planung sollte die Maßnahme M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 berücksichtigt werden.

Prüffragen: