Bundesamt für Sicherheit in der Informationstechnik

M 2.489 Planung der Systemüberwachung unter Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Revisor

Neuerungen von Windows Server 2008

Bei Windows-Servern müssen die Grundsätze der Überwachung und Protokollierung angewendet werden, siehe M 5.9 Protokollierung am Server . Mit Einführung von Windows Vista und Windows Server 2008 wurde das Ereignisprotokollmodul von Grund auf neu entwickelt. Neben der Erhöhung der Protokolldateigröße auf nunmehr maximal 1 Petabyte wurde auch der Schreibdurchsatz bei der Erstellung der Protokolle erhöht. Grundsätzlich ist das Ereignisprotokollmodul nun in der Lage, Zehntausende von Ereignissen pro Sekunde zu verarbeiten und zu speichern. Gleichzeitig wurde das Format der Einträge von.evt nun in das XML -Format .evtx geändert.

Neben diesen Veränderungen und der Einführung neuer Ereignisse gibt es zwei wesentliche zu beachtende Neuerungen:

  • Sammeln von Ereignissen auf einem zentralen Windows-System
    Seit der Version Windows Server 2008 ist es möglich, Kopien von Ereignissen auf einem zentralen Computer zu sammeln (siehe Abschnitt Planung).
  • Neue Nummerierung der Ereignis-IDs
    In der Regel wurden die Identifikationsnummern (ID) der Sicherheitsereignisse durch Verschiebung um den numerischen Wert 4096 verändert, somit hat das ehemalige Ereignis 528 Erfolgreiche Anwendung nun die neue ID 4634 bekommen. Dies sollte bei schon vorhandenen Auswertungen von Ereignis-IDs, zum Beispiel durch eigene Skripten, berücksichtigt werden.

Planung

Grundsätzlich sollten während der Planungsphase die folgenden Maßnahmen mitberücksichtigt werden, da sie die Basis der für Windows Server 2008 relevanten Konfigurationen darstellen:

Seit Windows Server 2008 ist es möglich, Kopien zuvor definierter Ereignisse auf einem zentralen Windows-System zu sammeln und zu konsolidieren. Vor der notwendigen Konfiguration sowohl der weiterleitenden als auch der sammelnden Computer sollten grundsätzliche Aspekte betrachtet werden.

Um die notwendigen Schritte zur Konfiguration der Überwachung einzuleiten, müssen auf Quellcomputer und Sammlungscomputer die notwendigen Dienste aktiviert werden. Es muss festgelegt, welche Ereignisse von Windows-Servern auf das zentrale System weitergeleitet werden. Erst danach können sogenannte Abonnements erstellt werden. Durch Abonnements sind die zu überwachenden Quellcomputer, der Ereignistyp oder auch Abfragefilter festzulegen. Auch erweiterte Abonnementeinstellungen, wie zum Beispiel Bandbreitenoptimierung, sind danach möglich. Es muss geklärt werden, ob der Abonnententyp Sammlungs- oder Quellcomputer initiiert ist. Unter Umständen müssen vor diesem Hintergrund Firewallregeln angepasst werden.

Für die Betriebsphase nach erfolgter Planung sollte die Maßnahme M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008 berücksichtigt werden.

Prüffragen:

  • Wurde festgelegt, welche Ereignisse von Windows-Servern auf das zentrale System weitergeleitet werden?

Stand: 13. EL Stand 2013