Bundesamt für Sicherheit in der Informationstechnik

M 2.365 Planung der Systemüberwachung unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Revisor

Beim Betrieb von Windows Server 2003 werden vielfältige und umfangreiche Ereignisprotokolle erzeugt. Diese Protokolle dienen vorrangig dem Nachweis und der Aufrechterhaltung eines ordnungsgemäßen Betriebes, aber auch der Fehleranalyse. Sie sind oft auch Grundlage von Revisionen oder weiteren Auswertungen.

Aus den Inhalten der Protokolle ergeben sich Aufbewahrungsfristen und zu berücksichtigende datenschutzrechtliche Aspekte. Die Grundsätze zur Protokollierung sollten den gesetzlichen Anforderungen entsprechen und den Missbrauch von Protokolldaten sowie damit verbundene Gefährdungen und Risiken minimieren. (siehe M 5.9 Protokollierung am Server , M 2.64 Kontrolle der Protokolldateien , M 2.110 Datenschutzaspekte bei der Protokollierung ).

Grundsätze der Überwachung und Protokollierung

  • Protokolle sind nur im notwendigen Umfang zu erzeugen. Ihre Erzeugung verursacht Ressourcen- und Speicherplatzverbrauch. Es gilt das Vermeidungsprinzip.
  • Höhere Sicherheitsanforderungen erfordern allgemein eine umfangreichere Überwachung.
  • Protokolle werden für begründete, festgeschriebene Zwecke erzeugt und unterliegen dieser Zweckbindung.
  • Die Überwachung und Protokollierung unterliegt den Interessen der Organisation und muss mit der Personalvertretung und dem Datenschutzbeauftragten abgestimmt sein.
  • Protokolle sind vor unberechtigtem Zugriff, vor Manipulation und nachträglicher Änderung zu schützen.
  • Protokolle sind regelmäßig und ausreichend zeitnah auszuwerten.
  • Für die korrekte Auswertung von Protokollen sind exakte und synchrone Zeiteinträge sowie definierte Formate, Schnittstellen und Verfahren erforderlich.
  • Bei der Auswertung von Protokollen sind die Grundsätze des Bausteins B 1.8 Behandlung von Sicherheitsvorfällen zu berücksichtigen.
  • Protokolle sind nach Überschreiten ihrer maximalen Aufbewahrungsfrist zu löschen.

Überwachungsrichtlinie

Auf Grundlage der Sicherheitsrichtlinie für den zu überwachenden Windows Server 2003 muss eine Überwachungsrichtlinie für den Server abgeleitet und umgesetzt werden. In der Überwachungsrichtlinie wird definiert, welche Ereignisse durch wen zu überwachen sind, welche Aktionen auf bestimmte Ereignisse innerhalb einer festgelegten Reaktionszeit erfolgen müssen und wie mit den Protokolldaten umzugehen ist. Die bei Windows Server 2003 mitgelieferten Sicherheitsvorlagendateien befinden sich im Ordner %SystemRoot%\Security\Templates. Sie können mit der Managementkonsole MMC (Snap-In Sicherheitsvorlagen) eingesehen werden und dienen der Übersicht und Orientierung.

Welche Benutzer und Ereignisse überwacht werden sollen, wird im Gruppenrichtlinien-Snap-In festgelegt. Es sollte dokumentiert sein, ob und - wenn ja - aus welchem Grund zu folgenden Kategorien Erfolgs- und/oder Fehlerereignisse protokolliert werden:

  • Anmeldeversuche
  • Anmeldeereignisse
  • Kontenverwaltungsereignisse
  • Active Directory-Zugriffe
  • Objektzugriffe
  • Rechteverwendungen
  • Prozessnachverfolgungen
  • Systemereignisse
  • Richtlinienänderungen

Objektüberwachung

Für die Überwachung der Objektzugriffe (z. B. Dateien) ist zu beachten, dass diese sowohl in der Überwachungsrichtlinie des Servers als auch in den Eigenschaften der ausgewählten Objekte aktiviert sein muss. Zum Beispiel erlaubt Windows Server 2003 für Administratoren sowohl die Übernahme des Besitzes von Dateien als auch deren Übergabe an Dritte und damit auch an den ursprünglichen Besitzer. Dieser ist somit nur eingeschränkt in der Lage, eine solche Aktion zu erkennen. Deshalb sollten solche Ereignisse für überwachte Objekte zuverlässig ausgewertet werden.

Ereignisprotokolle

Mit der Ereignisanzeige können die Protokolle manuell eingesehen und verwaltet werden. Jeder einzelne Eintrag besitzt ergänzende Details und eine eindeutige Ereignis-ID, zu der ausführliche Beschreibungen existieren. Die Konfiguration der Ereignisanzeige muss definiert sein. Dazu sind die folgenden Aspekte zu beachten:

  • Rollentrennung
    Der Speicherort für die Ereignisprotokolle kann gegebenenfalls vom Standard %SystemRoot%\system32\config abweichen, wenn z. B. deren Auswertung nicht von der Administration beeinflusst werden darf. In diesem Ordner befindet sich auch die Registry. Daher ist es nicht sinnvoll, dem Administrator den Zugriff auf diesen Ordner zu entziehen. Seit Windows Server 2003 ist eine Beschränkung der Berechtigungen auf die Protokolle der Ereignisanzeige möglich. Die gewünschten Zugriffsberechtigungen (Access Control List, ACL ) werden mittels einer Sicherheitsbeschreibungssprache (Security Descriptor Definition Language, SDDL) im Registry-Wert CustomSD für die separaten Protokolle definiert.
    Alternativ kann eine gewünschte Trennung von Administration und Überwachung mit einem Systemmanagementwerkzeug realisiert werden, auf das der betreffende Administrator keinen Einfluss besitzt.
  • Protokollgröße und -aufbewahrung
    Die maximale Größe der Protokolldateien muss mit dem Verhalten beim Überschreiben, der erwarteten Anzahl möglicher Ereignisse und dem zu protokollierenden Überwachungszeitraum harmonieren. Falls "Ereignis nie überschreiben" konfiguriert wird, ist zu gewährleisten, dass die Protokolldatei nicht zu groß wird und so das System beeinträchtigt. Ansonsten könnte der Server stoppen und herunterfahren, sofern die Sicherheitseinstellungen so konfiguriert sind. Die geforderte Verfügbarkeit wäre unter Umständen nicht gegeben.
  • Relevante Protokolle
    Die Ereignisprotokolle umfassen mindestens die Protokolle
    • System,
    • Anwendung und
    • Sicherheit.
    Abhängig von der Rolle und Funktion des Servers und können zusätzlich die Protokolle
    Verzeichnisdienst,
    DNS -Server und
    Dateireplikationsdienst
    geführt werden.
    Weitere dateibasierte Protokolle, die in Abhängigkeit der Rolle und Funktion des Servers berücksichtigt werden sollten, sind:
    • IIS-Protokolle
    • RRAS-Protokolle
    • RADIUS-Protokolle
  • Ereignistypen
    In den Protokollen können folgende Ereignistypen enthalten sein:
    • Fehler
    • Warnung
    • Information
    • Erfolgsüberwachung
    • Fehlversuchsüberwachung

Instrumente zur Überwachung protokollierter Ereignisse

Protokolle können je nach Bedarf manuell (z. B. über die Ereignisanzeige), mittels benutzerdefinierter Skripte (z. B. Eventlg.pl, Eventquery.vbs), mit speziellen Werkzeugen (z. B. Dumpel.exe, Auditusr.exe, EventCombMT) oder mit vollautomatisierten Managementwerkzeugen (z. B. Microsoft Operations Manager 2005, MOM 2005) ausgewertet werden. Darüber hinaus existieren auch Produkte von Drittanbietern.

Quellenhinweise:

Werkzeug Quelle
Eventlg.pl Windows 2000 Resource Kit, Supplement 1
Eventquery.vbs Windows 2000 Resource Kit, Supplement 1
Dumpel.exe Windows 2000 Server Resource Kit, Supplement 1
Auditusr.exe Bestandteil Windows Server 2003 mit SP1
EventCombMT Microsoft Windows Server 2003 Resource Kit Tools

Diese Produkte decken auch Anforderungen an eine Überwachung ab, welche mit den Bordmitteln eines Windows Server 2003 nicht ausreichend realisiert werden können. Dazu zählt z. B. die Benachrichtigung per SMTP, echtzeitnahe Reaktion auf Ereignisse oder ansatzweise eine forensische Analyse, zur Feststellung verdächtiger Vorfälle und Ermittlung der Verursacher.

Bei der Überwachung der Verfügbarkeit eines Windows Server 2003 oder seiner Dienste ist zu berücksichtigen, dass eine zuverlässige Überwachung und automatische Eskalation nur von einem unabhängigen Drittsystem gewährleistet werden kann.

Die Art der Überwachung sollte ebenfalls in der Überwachungsrichtlinie dokumentiert sein.

  • Automatisierte Überwachung
    Manuelle Überwachungen und Auswertungen sind potenziell fehlerbehaftet und subjektiv, unterliegen individuellen Schwankungen und sind nur eingeschränkt verfügbar. Die automatisierte Überwachung und Auswertung ist manuellen Verfahren vorzuziehen. Der Grundsatz der Angemessenheit ist zu berücksichtigen.
    Details zur empfohlenen Vorgehensweise sind von Microsoft im Planungshandbuch für die Sicherheitsüberwachung und Angriffserkennung beschrieben.
    Auch wenn für die Sicherheitsüberwachung eines Windows Server 2003 das Sicherheitsprotokoll der Ereignisanzeige höchste Priorität besitzt, darf nicht übersehen werden, dass weitere Ereignisse und somit deren Aufzeichnung sicherheitsrelevant sind. Eine regelmäßige Korrelation der Daten der Ereignisprotokolle mit anderen Daten wie beispielsweise Urlaubstagen, Feiertagen, Uhrzeiten etc. sollte durchgeführt werden, um Abweichungen von "normaler" Nutzung festzustellen.
  • Systemmonitor
    Der Systemmonitor mit seinen Leistungsprotokollen und Warnungen liefert zuverlässig Informationen über die aktuelle Verfügbarkeit von Ressourcen wie Hauptspeicher, Prozessor, Netzwerk und Festplattenplatz. Er kann automatisch beim Überschreiten definierter Grenzwerte warnen. Damit kann die Sicherstellung der Verfügbarkeit eines Servers unterstützt werden. Die statistischen Auswertungen der Leistungsprotokolle über einen längeren Zeitraum gestatten Trendanalysen und eine rechtzeitige bedarfsgerechte Erweiterung oder Modernisierung erforderlicher Hardware. Auch Druckerwarteschlangen lassen sich mit dem Systemmonitor überwachen.
  • Hardware
    Hardwarekomponenten, welche speziell zur Verbesserung der Verfügbarkeit beschafft wurden (z. B. Unterbrechungsfreie Stromversorgung, Temperaturüberwachung), produzieren Ereignisse oder Protokollinformationen, die in die Überwachung einzubeziehen sind.
  • Anwendungen
    Anwendungen können sicherheitsrelevante Informationen im Anwendungs-Protokoll der Ereignisanzeige oder in eigenen Protokollen dokumentieren. Diese Informationen und/oder Protokolle sollten ebenfalls in die Überwachung einbezogen werden.

Dokumentation

Als Dokumentation dient die Überwachungsrichtlinie. Weiterhin sollten Sicherheitsvorlagen (.inf-Dateien) für die effektive Überwachungsrichtlinie des Windows-Server-2003 Systems erstellt werden. Bei zusätzlichen Tools sind die überwachten Objekte und die protokollierten Ereignis-Typen zu dokumentieren.

Prüffragen:

  • Existiert eine Überwachungsrichtlinie für Windows Server 2003 zum Umgang mit Ereignissen in den Protokolldaten und ist deren Umfang mit den Anforderungen der Sicherheitsrichtlinie der Organisation abgestimmt?

  • Entsprechen sowohl der für die Protokolldateien zur Verfügung stehende Speicherplatz als auch die auditierten Protokolle den Sicherheitsanforderungen der Organisation?

  • Erfüllen die Instrumente zur Überwachung protokollierter Ereignisse unter Windows Server 2003 die Sicherheitsanforderungen der Organisation?

  • Werden die Ergebnisse der Überwachung von Windows Server 2003 auch zur Identifikation von unerkannten Schwachstellen und Schulungsbedarf genutzt?

Stand: 13. EL Stand 2013