Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.148 Überwachung eines Windows 2000/XP Systems - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.148 Überwachung eines Windows 2000/XP Systems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Revisor

Die Überwachung von Rechnersystemen ist ein wichtiges Mittel zur Aufrechterhaltung der Systemsicherheit und Systemintegrität. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.

Die Überwachung eines Windows 2000/XP Systems muss schon in der Planungsphase berücksichtigt werden, damit die relevanten Parameter entsprechend den Anforderungen festgelegt werden können. Damit unter Windows 2000/XP eine Überwachung erfolgen kann, muss diese zunächst generell aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung. Die Aktivierung und die Konfiguration der Überwachungskomponenten erfolgt dabei über folgende Gruppenrichtlinienparameter:

   
Computer Richtlinien / Lokale Richtlinien / Überwachungsrichtlinien
Parameter Empfehlung

Prozessverfolgung überwachen

 

Die Prozessverfolgung ist im allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden.

 

Rechteverwendung überwachen

 

Die Verwendung von Benutzerrechten sollte überwacht werden.

 

Richtlinienänderungen überwachen

 

Das Verändern von Richtlinieneinstellungen (GPOs) ist eine sicherheitskritische Operation und sollte überwacht werden.

 

Systemereignisse überwachen

 

Aktiviert die Protokollierung der Boot-Ereignisse.

 

Anmeldeereignisse überwachen

 

Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner (z. B. Arbeitsplatzrechner) sollte aktiviert sein.

 

Anmeldeversuche überwachen

 

Die Protokollierung der Anmeldeversuche auf dem Domänen-Controller, der die Authentisierung des Benutzers durchführt, sollte aktiviert sein.

 

Kontenverwaltung überwachen

 

Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden.

 

Objektzugriff überwachen

 

Diese Option sollte aktiviert werden, da hierdurch die Protokollierung von Datei- und Registry-Zugriffen möglich wird.

 

Active Directory Zugriff überwachen

 

Dies ist nur auf Domänen-Controllern relevant. Änderungen am AD sollten überwacht werden.

 

Tabelle: Computer-, Lokale-, Überwachungsrichtlinien

     
1. Computer Richtlinien / Lokale Richtlinien / Zuweisen von Benutzerrechten
Parameter Empfehlung

Verwalten von Überwachungs- und Sicherheitsprotokollen

 

Dieses Recht ermöglicht

  • die Konfiguration der Audit-Einstellungen für die einzelnen Objekte (Dateien, Registry, Active Directory),
  • das Ansehen bzw. Löschen des Sicherheitsprotokolls.

Welcher Benutzergruppe (bzw. -gruppen) dieses Recht eingeräumt wird, hängt vom Überwachungskonzept ab. Prinzipiell sollte dieses Recht restriktiv vergeben werden. Es sollte dabei jedoch beachtet werden, dass

  • auch zur Diagnose und Behebung von nicht sicherheitsrelevanten Problemen der Zugriff auf das Sicherheitsprotokoll notwendig sein kann,
  • Administratoren sich dieses Benutzerrecht auch selbst einräumen können, wenn es ihnen entzogen wird. Es empfiehlt sich daher, diesen Vorgang zu protokollieren (Option Rechteverwendung überwachen).
 
2. Computer Richtlinien / Lokale Richtlinien / Ereignisprotokoll
  • Aufbewahrungsmethode des Anwendungsprotokolls
  • Aufbewahrungsmethode des Sicherheitsprotokolls
  • Aufbewahrungsmethode des Systemprotokolls
 

Je nach Protokollierungskonzept kann gewählt werden zwischen

Nach ... Tagen,

Überschreiben und

Nicht überschreiben.

 
  • Anwendungsprotokoll aufbewahren für
  • Sicherheitsprotokoll aufbewahren für
  • Systemprotokoll aufbewahren für
 

Anzahl der Tage, wenn die Aufbewahrungsmethode Nach ... Tagen gewählt wurde.

 
  • Windows 2000:
  • Gastkontozugriff auf Anwendungsprotokoll einschränken
  • Gastkontozugriff auf Sicherheitsprotokoll einschränken
  • Gastkontozugriff auf Systemprotokoll einschränken
  • Windows XP:
  • Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Systemprotokoll verhindern
 

Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden.

 
  • Maximale Größe des Anwendungsprotokolls
  • Maximale Größe des Sicherheitsprotokolls
  • Maximale Größe des Systemprotokolls
 

Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht.

Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann.

Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows 2000 bzw. M 4.xp5 Sichere Windows XP Systemkonfiguration. Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden.

 

Windows 2000:

System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren

 

Im Normalbetrieb ist dies mit Vorsicht zu behandeln. Diese Option ist jedoch in Hochsicherheitsbereichen sinnvoll, wenn Nachweisführung vor Verfügbarkeit geht. In jedem Fall muss der Einsatz genau abgewogen werden.

 

Tabelle: Einstellungen für Protokolldateien

Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:

Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD-Replikation, durch die Konfigurationsänderungen weitergereicht werden. Dazu können einerseits AD-Werkzeuge, wie repadmin.exe oder showreps.exe, genutzt werden, andererseits sollten das ADS-Log (Active Directory Service) und das FRS-Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.

Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Windows 2000 führte den Zeitdienst W32Time (Windows-Zeitgeber) ein. Dieser Dienst ist für die Zeitsynchronisierung verantwortlich.

In einer Active Directory-Umgebung ist der autorisierende Domain Controller der Zeitgeber für die Domänenmitglieder. Der Windows Zeitdienst ist hierarchisch aufgebaut: Der Domain Controller der Stammdomäne (Root Domain), der die PDCE FSMO Rolle innehat, wird zum zentralen Zeitgeber für die gesamte Active Directory-Infrastruktur. Der Domain Controller kann mit dem Kommando net time /setsntp:<zeitquelle> so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.

Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time oder über die Registrierung (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers) so konfiguriert werden, dass sie eine andere Zeitquelle verwenden.

Ergänzende Kontrollfragen: