Bundesamt für Sicherheit in der Informationstechnik

M 4.342 Aktivierung des Last Access Zeitstempels ab Windows Vista

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das Dateisystem NTFS verwaltet drei Zeitstempel, um Änderungen am Dateisystem nachvollziehen zu können. Diese Zeitstempel werden auch MAC-Zeitstempel genannt. Der Begriff MAC-Time steht unter Windows für die Modification-, Access- und Creation-Time einer Datei im NTFS-Dateisystem.

  • Die Modification Time (Zeitpunkt der letzten Modifikation) ist der Zeitpunkt, zu dem zum letzten Mal schreibend auf eine Datei zugegriffen wurde. Dieser Zeitstempel wird aktualisiert, wenn sich der Inhalt der Datei verändert.
  • Last Access Time (Zeitpunkt des letzten Zugriffs) ist der Zeitpunkt, zu dem eine Datei das letzte Mal gelesen oder ausgeführt wurde. Dieser Zeitstempel wird aktualisiert, wenn Metadaten oder Dateiinhalte angezeigt werden. Hierbei ist es unerheblich, ob die Datei gespeichert oder anderweitig verändert wurde. Wird die Datei geöffnet, aufgerufen oder durch andere Mittel betrachtet, findet sich dies im Zeitstempel wieder.
  • Creation Time (Zeitpunkt der Erstellung) ist der Zeitpunkt, zu dem eine Datei neu oder durch Kopieren erstellt wurde.

Muss während der Untersuchung eines Sicherheitsvorfalls (siehe B 1.8 Behandlung von Sicherheitsvorfällen) ein Datenträger mit NTFS analysiert werden, hilft eine Analyse der MAC-Times, um herauszufinden, welche Dateien während des vermutlichen Missbrauchs gelesen, geschrieben, ausgeführt oder verändert wurden. Dies gibt Hinweise darauf, welche Konfigurationsdateien beziehungsweise welche Systemdateien verändert wurden, um zum Beispiel eine Hintertür in das System zu installieren. Zusätzlich kann man die während des angenommenen Angriffszeitpunkts veränderten Dateien analysieren und unter Umständen erfahren, welche Methode zum Systemeinbruch angewandt wurde. Durch die Erstellung von so genannten Timelines kann recht genau bestimmt werden, zu welchem Zeitpunkt eine Datei auf ein System kopiert wurde, und ob sie in der Folge betrachtet beziehungsweise aufgerufen wurde.

Unter Windows Vista, Windows 7 und Windows Server 2008 ist das Aktualisieren des Last-Access-Zeitstempels in der Registry standardmäßig deaktiviert, da bei einer ungünstigen Dateisystemstruktur Leistungseinbußen möglich wären. Im Rahmen der Erstellung eines Sicherheitskonzeptes für ein solches System sollte geprüft werden, ob der Last-Access-Zeitstempel geschrieben werden soll, um die Analyse eines Systemmissbrauchs zu erleichtern. Performanceaspekte sind in die Bewertung einzubeziehen. Gibt es andere angemessene Verfahren zur Missbrauchsanalyse, kann auf die Aktivierung der Funktion verzichtet werden.

Zum Aktivieren des Last-Access-Zeitstempels ist der Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate auf den Wert "0" zu setzen.

Prüffragen:

  • Wurde bei der Erstellung des Sicherheitskonzeptes für Systeme mit Windows Vista, Windows 7 oder Windows Server 2008 geprüft, ob man auf den Last-Access-Zeitstempel verzichten kann?

  • Wurden bei dieser Prüfung auch Performanceaspekte von Windows Vista und Windows 7 in die Bewertungen einbezogen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK