Bundesamt für Sicherheit in der Informationstechnik

M 4.148 Überwachung eines Windows 2000/XP Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Revisor

Die Überwachung von Rechnersystemen ist ein wichtiges Mittel zur Aufrechterhaltung der Systemsicherheit und Systemintegrität. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.

Die Überwachung eines Windows 2000/XP Systems muss schon in der Planungsphase berücksichtigt werden, damit die relevanten Parameter entsprechend den Anforderungen festgelegt werden können. Damit unter Windows 2000/XP eine Überwachung erfolgen kann, muss diese zunächst generell aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung. Die Aktivierung und die Konfiguration der Überwachungskomponenten erfolgt dabei über folgende Gruppenrichtlinienparameter:

Allgemeine Aktivierung der Überwachungsfunktionen:

Es können jeweils die Werte Keine Überwachung oder Erfolgreich und/oder Fehlgeschlagen eingestellt werden.

Computer Richtlinien / Lokale Richtlinien / Überwachungsrichtlinien
Parameter Empfehlung
Prozessverfolgung überwachen Die Prozessverfolgung ist im allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden.
Rechteverwendung überwachen Die Verwendung von Benutzerrechten sollte überwacht werden.
Richtlinienänderungen überwachen Das Verändern von Richtlinieneinstellungen (GPOs) ist eine sicherheitskritische Operation und sollte überwacht werden.
Systemereignisse überwachen Aktiviert die Protokollierung der Boot-Ereignisse.
Anmeldeereignisse überwachen Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner (z. B. Arbeitsplatzrechner) sollte aktiviert sein.
Anmeldeversuche überwachen Die Protokollierung der Anmeldeversuche auf dem Domänen-Controller, der die Authentisierung des Benutzers durchführt, sollte aktiviert sein.
Kontenverwaltung überwachen Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden.
Objektzugriff überwachen Diese Option sollte aktiviert werden, da hierdurch die Protokollierung von Datei- und Registry-Zugriffen möglich wird.
Active Directory Zugriff überwachen Dies ist nur auf Domänen-Controllern relevant. Änderungen am AD sollten überwacht werden.

Tabelle: Computer-, Lokale-, Überwachungsrichtlinien

Einstellungen für die Protokolldateien:

1. Computer Richtlinien / Lokale Richtlinien / Zuweisen von Benutzerrechten
Parameter Empfehlung
Verwalten von Überwachungs- und Sicherheitsprotokollen Dieses Recht ermöglicht
  • die Konfiguration der Audit-Einstellungen für die einzelnen Objekte (Dateien, Registry, Active Directory),
  • das Ansehen bzw. Löschen des Sicherheitsprotokolls.
Welcher Benutzergruppe (bzw. -gruppen) dieses Recht eingeräumt wird, hängt vom Überwachungskonzept ab. Prinzipiell sollte dieses Recht restriktiv vergeben werden. Es sollte dabei jedoch beachtet werden, dass
  • auch zur Diagnose und Behebung von nicht sicherheitsrelevanten Problemen der Zugriff auf das Sicherheitsprotokoll notwendig sein kann,
  • Administratoren sich dieses Benutzerrecht auch selbst einräumen können, wenn es ihnen entzogen wird. Es empfiehlt sich daher, diesen Vorgang zu protokollieren (Option Rechteverwendung überwachen).
2. Computer Richtlinien / Lokale Richtlinien / Ereignisprotokoll
  • Aufbewahrungsmethode des Anwendungsprotokolls
  • Aufbewahrungsmethode des Sicherheitsprotokolls
  • Aufbewahrungsmethode des Systemprotokolls
Je nach Protokollierungskonzept kann gewählt werden zwischen
Nach ... Tagen,
Überschreiben und
Nicht überschreiben.
  • Anwendungsprotokoll aufbewahren für
  • Sicherheitsprotokoll aufbewahren für
  • Systemprotokoll aufbewahren für
Anzahl der Tage, wenn die Aufbewahrungsmethode Nach ... Tagen gewählt wurde.
Windows 2000:
  • Gastkontozugriff auf Anwendungsprotokoll einschränke
  • Gastkontozugriff auf Sicherheitsprotokoll einschränke
  • Gastkontozugriff auf Systemprotokoll einschränken
Windows XP:
  • Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Systemprotokoll verhindern
Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden.
  • Maximale Größe des Anwendungsprotokolls
  • Maximale Größe des Sicherheitsprotokolls
  • Maximale Größe des Systemprotokolls
Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht.
Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann.
Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows bzw. M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen . Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden.
Windows 2000:
System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren
Im Normalbetrieb ist dies mit Vorsicht zu behandeln. Diese Option ist jedoch in Hochsicherheitsbereichen sinnvoll, wenn Nachweisführung vor Verfügbarkeit geht. In jedem Fall muss der Einsatz genau abgewogen werden.

Tabelle: Einstellungen für Protokolldateien

Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:

  • Der Datenschutzbeauftragte und der Personal- bzw. Betriebsrat sollten frühzeitig in die Planung mit einbezogen werden, da bei einer Überwachung meist auch personenbezogene Daten erfasst werden, um im Falle einer Sicherheitsverletzung zuverlässig den Verursacher feststellen zu können.
  • Damit die Überwachungskomponenten Protokolleinträge generieren, muss die Überwachung über die relevanten Gruppenrichtlinieneinstellungen aktiviert werden.
  • Windows 2000/XP stellt zur Überwachung lediglich eine Protokoll-Funktionalität zur Verfügung: Systemkomponenten und Applikationen erzeugen Statusmeldungen, die in drei Protokolldateien (System-, Applikations- und Sicherheitslog) gesammelt werden. Eine dedizierte Auditing-Architektur zur Online-Überwachung existiert nicht. Die Protokolldateien werden jeweils lokal gespeichert und müssen im Wesentlichen von Hand ausgewertet werden.
  • Der Aufbau einer zentralen Sammelstelle von Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte von Drittherstellern erreicht werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe auch Baustein B 4.2 Netz- und Systemmanagement ), so ist es - je nach Produkt - möglich, die Windows 2000/XP Protokolle direkt in dieses Werkzeug zu importieren.
  • Über die Windows 2000/XP Auditing-Einstellungen können Zugriffe auf Dateien oder Registry-Schlüssel im Sicherheitsprotokoll aufgezeichnet werden.
  • Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Zusätzlich führt eine intensive Überwachung zu Performanceverlusten. Dadurch kann im Extremfall ein System so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebes überprüft und gegebenenfalls angepasst werden. Es ist zu beachten, dass die Anpassung auch Einfluss auf das gesamte Überwachungskonzept haben kann, da bestimmte Überwachungsaufgaben nicht mehr durchführbar sind. Dies gilt insbesondere dann, wenn zusätzliche Produkte eingesetzt werden, die hohe Anforderungen an die protokollierten Ereignisse stellen. Dies sind z. B. Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.

Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD-Replikation, durch die Konfigurationsänderungen weitergereicht werden. Dazu können einerseits AD-Werkzeuge, wie repadmin.exe oder showreps.exe, genutzt werden, andererseits sollten das ADS -Log (Active Directory Service) und das FRS -Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.

Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Windows 2000 führte den Zeitdienst W32Time (Windows-Zeitgeber) ein. Dieser Dienst ist für die Zeitsynchronisierung verantwortlich.

In einer Active Directory-Umgebung ist der autorisierende Domain Controller der Zeitgeber für die Domänenmitglieder. Der Windows Zeitdienst ist hierarchisch aufgebaut: Der Domain Controller der Stammdomäne (Root Domain), der die PDCE FSMO Rolle innehat, wird zum zentralen Zeitgeber für die gesamte Active Directory-Infrastruktur. Der Domain Controller kann mit dem Kommando net time /setsntp:<zeitquelle> so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.

Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time oder über die Registrierung (HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers) so konfiguriert werden, dass sie eine andere Zeitquelle verwenden.

Prüffragen:

  • Wurde ein bedarfsgerechtes Überwachungskonzept für Windows entworfen und umgesetzt?

  • Entsprechen die Parameter zur Systemüberwachung den Anforderungen der Institution?

  • Deckt sich die geforderte Konfiguration der Überwachungskomponenten unter Windows mit den eingesetzten Gruppenrichtlinienparametern?

  • Decken sich die vergebenen Rechte zur Verwaltung der Überwachungs- und Sicherheitsprotokolle mit den Sicherheitsrichtlinien der Institution?

  • Werden der Datenschutzbeauftragte und der Personal- bzw. Betriebsrat in die Planung einer Überwachung mit einbezogen?

  • Ist eine regelmäßige Synchronisation der Systemzeit gewährleistet?

Stand: 13. EL Stand 2013