Bundesamt für Sicherheit in der Informationstechnik

M 4.344 Überwachung von Windows-Systemen ab Windows Vista und Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Revisor

Rechnersysteme sollten überwacht werden, um die Systemsicherheit und Systemintegrität aufrecht zu erhalten. Nur so können mögliche Sicherheitslücken, Verstöße gegen die geltenden Sicherheitsrichtlinien oder gar Angriffe durch Außen- und Innentäter entdeckt und geeignete Gegenmaßnahmen eingeleitet werden.

Die Überwachung von Clients ab Windows Vista und Servern ab Windows Server 2008 müssen schon in der Planungsphase berücksichtigt und relevante Parameter in einem Überwachungskonzept festgehalten werden. Damit auf Windows-Clients eine Überwachung erfolgen kann, muss diese zunächst über Gruppenrichtlinien oder lokale Einstellungen aktiviert werden. Dies gilt insbesondere für die Datei- und Registry-Überwachung.

Windows-Systeme unterscheiden in der Ereignisanzeige zwischen "Windows-Protokollen" und "Anwendungs- und Dienstprotokollen".

In den Windows-Protokollen werden folgende Ereignisse überwacht:

  • Anwendungsprotokoll: enthält Ereignisse, die von den Anwendungen gemeldet werden. Welche Ereignisse protokolliert werden können, legen die Anwendungsentwickler fest. Dieses Protokoll trägt bei Clients ab Windows 7 den Namen: Anwendung.
  • Sicherheitsprotokoll: enthält von Microsoft als sicherheitsrelevant eingestufte Ereignisse. Durch die Konfiguration der Überwachungsrichtlinien kann ein Administrator festlegen, was protokolliert werden soll.
  • Setupprotokoll oder Einrichtungsprotokoll: enthält Ereignisse, die während der Installation von Anwendungen auftreten. Dieses Protokoll trägt bei Clients ab Windows 7 den Namen: Installation.
  • Systemprotokoll: enthält Ereignisse, die von Microsoft Windows Systemkomponenten ausgehen. Dieses Protokoll trägt bei Clients ab Windows 7 den Namen: System.
  • Weitergeleitete Ereignisse: nur wenn ein Client explizit zum Sammeln von Ereignissen auf entfernten Computern (Remote Clients) konfiguriert wurde, werden auf dem Client "Weitergeleitete Ereignisse" angezeigt. Es handelt sich dabei um Ereignisse der zuvor genannten Protokolle. Die Remote Clients müssen ebenfalls konfiguriert werden, um den Zugriff auf ihre Ereignisanzeige zuzulassen.

Es ist zu überlegen, einen Sammel-Client zur zentralen Kontrolle der Ereignisprotokolle einzurichten, ähnlich eines Syslog-Servers. Diese Funktion kann auch von Server-Produkten von Microsoft oder von Tools anderer Hersteller, wie Virenschutz-Software für den professionellen Einsatz, übernommen werden.

Anwendungs- und Dienstprotokolle wurden mit Microsoft Windows Vista eingeführt. In diesen Protokollen werden keine systemweiten Ereignisse gespeichert, sondern Ereignisse, die einzelne Anwendungen oder Komponenten betreffen.

In den folgenden Tabellen werden Empfehlungen zu Einstellungen der Anzeige von Ereignissen in der Ereignisanzeige gegeben. Die Ereignisse erzeugen entsprechende Nachrichten im Sicherheitsprotokoll.

Die Überschriften der folgenden Tabellen geben die Pfade in den Gruppenrichtlinien (Group Policy Objects, GPO s) an. Diese können lokal (lokale XP Gruppenrichtlinie) oder im Active Directory konfiguriert werden (siehe M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ).

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinie"

Parameter Empfehlung
Prozessnachverfolgung überwachen Die Prozessverfolgung ist im Allgemeinen nicht sinnvoll und sollte nur für Debugging-Zwecke aktiviert werden.
Rechteverwendung überwachen Fehlgeschlagene Zugriffsversuche sollten überwacht werden. (Fehler)
Richtlinienänderungen überwachen Das Verändern von Richtlinieneinstellungen ( GPO s) ist eine sicherheitskritische Operation und sollte überwacht werden. (Erfolg)
Systemereignisse überwachen Systemereignisse sollten überwacht werden. (Erfolg)
Anmeldereignisse überwachen Die Protokollierung der Anmeldeereignisse auf dem lokalen Rechner (z. B. Arbeitsplatzrechner) sollte aktiviert sein. (Erfolg). Auf Domänencontrollern oder Systemen mit hohem Schutzbedarf sollten auch fehlgeschlagene Ereignisse überwacht werden. (Erfolg und Fehler)
Kontenverwaltung überwachen Änderungen in den Konteneinstellungen sind sicherheitskritische Ereignisse und sollten überwacht werden. (Erfolg und Fehler)
Objektzugriff überwachen Fehlgeschlagene Objektzugriffe sollten nur auf Systemen mit hohem Schutzbedarf oder zur Fehlerbehebung überwacht werden. Bedingt durch die Menge der Events sollten erfolgreiche Objektzugriffe nur für eine geringe Anzahl wichtiger Objekte aktiviert werden.
Verzeichnisdienstzugriff überwachen Die Verzeichnisdienstzugriffe sollten überwacht werden. Dabei sollte mindestens die Erfassung von Fehlern bei den Zugriffen aufgezeichnet werden. (Fehler)

Bei Clients ab Windows Vista und Servern ab Windows Server 2008 sind zu den oben genannten noch weitere Einstellungen zur Überwachung möglich.

Die folgenden Tabellen geben Empfehlungen zu Konfigurationseinstellungen zu den Themen:

  • "Zuweisen von Benutzerrechten auf die Ereignisanzeige",
  • "Einstellungen für das Ereignisprotokoll" Teil 1,
  • "Einstellungen für das Ereignisprotokoll" Teil 2 und
  • "Sicherheitsoptionen"

für die Überwachung von Clients ab Windows Vista und Servern ab Windows Server 2008-Systemen wieder.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten"

Parameter Empfehlung
Verwalten von Überwachungs- und Sicherheitsprotokollen Dieses Recht ermöglicht:
  • die Konfiguration der Audit-Einstellungen für die einzelnen Objekte (Dateien, Registry, Active Directory),
  • das Ansehen bzw. Löschen des Sicherheitsprotokolls.

Welcher Benutzergruppe ( bzw. -gruppen) dieses Recht eingeräumt wird, hängt vom Überwachungskonzept ab. Prinzipiell sollte dieses Recht restriktiv vergeben werden, zum Beispiel an die Gruppe der Administratoren. Es sollte dabei jedoch beachtet werden, dass:
  • auch zur Diagnose und Behebung von nicht sicherheitsrelevanten Problemen der Zugriff auf das Sicherheitsprotokoll notwendig sein kann
  • Administratoren sich dieses Benutzerrecht auch selbst einräumen können, wenn es ihnen entzogen wird. Es empfiehlt sich daher, diesen Vorgang zu protokollieren (Option Computer Richtlinien / Lokale Richtlinien / Überwachungsrichtlinien | Rechteverwendung überwachen).

Pfad "Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Ereignisprotokolldienst | <Protokoll>"

Parameter Empfehlung
  • Maximale Protokollgröße (Anwendungsprotokoll)
  • Maximale Protokollgröße (Setupprotokoll)
  • Maximale Protokollgröße (Sicherheitsprotokoll)
  • Maximale Protokollgröße (Systemprotokoll)
Die Größe muss so gewählt werden, dass je nach Aufbewahrungsmethode auch bei überdurchschnittlicher Systemaktivität genügend Platz zur Verfügung steht. Dies ist besonders wichtig für das Sicherheitsprotokoll, da sonst eine zeitliche Lücke in der Sicherheitsüberwachung des Systems entstehen kann. Vorschläge für die hier vorzunehmenden Einstellungen finden sich in M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP beziehungsweise M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen . Diese müssen jedoch den realen Bedingungen (Tests im Probebetrieb) angepasst werden.
Alte Ereignisse beibehalten Wenn diese Richtlinie deaktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden die Einträge zu älteren Ereignissen in der Protokolldatei mit Einträgen zu neuen Ereignissen überschrieben. Die Informationen zu diesen älteren Ereignissen stehen dann nicht mehr zur Verfügung. Wenn diese Richtlinie aktiviert ist und die Protokolldatei ihre maximale Größe erreicht hat, werden keine Einträge zu den neuen Ereignissen in der Protokolldatei protokolliert. Die Informationen zu den neuen Ereignissen gehen verloren. Es wird empfohlen, die Richtlinie "Alte Ereignisse beibehalten" zu aktivieren. Wenn die Richtlinie "Volles Protokoll automatisch sichern" (siehe weiter unten) genutzt werden soll, um Protokolle automatisch zu archivieren, muss die Richtlinie "Alte Ereignisse beibehalten" aktiviert werden.
Volles Protokoll automatisch sichern Wenn diese Richtlinie und die Richtlinie "Alte Ereignisse beibehalten" aktiviert sind, wird die Protokolldatei automatisch geschlossen und umbenannt, wenn sie ihre maximale Größe erreicht hat. Diese Richtlinie sollte aktiviert werden.

Die Einstellungen der folgenden Tabelle können nur im Active Directory und nicht über lokale Gruppenrichtlinien konfiguriert werden.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Ereignisprotokoll"

Parameter Empfehlung
  • Aufbewahrungsmethode des Anwendungsprotokolls
  • Aufbewahrungsmethode des Sicherheitsprotokolls
  • Aufbewahrungsmethode für das Setupprotokoll
  • Aufbewahrungsmethode des Sysytemprotokolls
Je nach Protokollierungskonzept kann gewählt werden zwischen:
  • Ereignisse auf Tagen basierend überschreiben,
  • Ereignisse bei Bedarf überschreiben und
  • Ereignisse nicht überschreiben (Protokoll manuell aufräumen).
Wenn keine Protokollierung erfolgen soll oder die Protokolle nicht ausgewertet werden sollen, kann die Option "Ereignisse bei Bedarf überschreiben" gewählt werden. Sonst können die Optionen "Ereignisse auf Tagen basierend überschreiben" oder "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" konfiguriert werden. Dabei ist darauf zu achten, dass bei der Wahl von "Ereignisse auf Tagen basierend überschreiben" die Richtlinie "<Protokollname> aufbewahren" mit einer entsprechenden Anzahl von Tagen konfiguriert werden muss. Siehe dazu auch die nächste Konfigurationseinstellung. Wird die Option "Ereignisse nicht überschreiben (Protokoll manuell aufräumen)" gewählt, muss sichergestellt werden, dass die Protokolle manuell gelöscht werden. Wenn diese Löschung nicht erfolgt, werden neue Ereignisse nicht mehr protokolliert, sobald die maximale Protokollgröße erreicht ist.
  • Anwendungsprotokoll-Aufbewahrung
  • Sicherheitsprotokoll-Aufbewahrung
  • Setupprotokoll-Aufbewahrung
  • Systemprotokoll-Aufbewahrung
Mit dieser Richtlinie kann die Zeit konfiguriert werden, für die ein Protokoll aufbewahrt wird. Diese Einstellung ist wichtig, wenn die Aufbewahrungsmethode eines Protokolls auf "Ereignisse auf Tagen basierend überschreiben" gesetzt wurde. Die konfigurierte Anzahl von Tagen hängt von der jeweiligen Systemumgebung ab und muss groß genug sein, um eine Sicherung der Protokolldaten zu ermöglichen. Weiterhin muss die "Maximale Protokollgröße" der Protokolle so groß gewählt werden, dass diese nicht überschrieben werden. Siehe dazu auch Tabelle "Einstellungen für das Ereignisprotokoll Teil 1". Um die Protokolle archivieren zu können, muss ein Administrator oder Benutzer über das Privileg "Verwalten von Überwachungs- und Sicherheitsprotokollen" verfügen. Siehe dazu auch in der Tabelle "Zuweisen von Benutzerrechten auf Ereignisanzeige".
  • Lokalen Gastkontozugriff auf das Setupprotokoll verhindern
  • Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern
  • Lokalen Gastkontozugriff auf Systemprotokoll verhindern
Die Zugriffsbeschränkung für das Gastkonto sollte aktiviert werden.

Pfad "Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen"

Parameter Empfehlung
Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können Zur Gewährleistung der Verfügbarkeit sollte diese Option deaktiviert werden. Lediglich bei hohem Schutzbedarf ist diese Option zu aktivieren, da dort Nachweisführung vor Verfügbarkeit geht. Bei Aktivierung sind weitere Maßnahmen zur Aufrechterhaltung des Betriebs erforderlich.

Lokal können in der Ereignisanzeige für jedes Protokoll einzeln die Protokollgröße und das Verhalten bei Erreichen der maximalen Ereignisprotokollgröße konfiguriert werden.

Bei Einsatz von DirectAccess ab Windows 7 sollte auf dem Client eine Protokollierung der Verbindungsaktivitäten des Tunnels eingerichtet werden (siehe M 5.123 Absicherung der Netzkommunikation unter Windows ). Hierfür müssen unter anderem Leistungsindikatoren von perfmon.exe abgefragt und Sammlungssätze erstellt werden. Als Speicherort der Sammlungssätze sollte ein sicheres Systemverzeichnis, wie %systemdrive% \perflogs \System \Diagnostics verwendet werden. Die optimale Größe der Log-Dateien muss durch regelmäßige Überprüfung an die aktuellen Bedingungen des Informationsverbundes angepasst werden. Die Verbindungsinformationen sollten mindestens eine Woche lang rückwirkend nachvollziehbar sein, um Fehlfunktionen und mögliche Angriffsmuster identifizieren zu können.

Mit Clients ab Windows 8 und Servern ab Windows Server 2012 besteht die Möglichkeit, den Zugriff auf Wechselmedien nachzuverfolgen. In früheren Versionen von Windows war es nur möglich, den Zugriff auf Wechselmedien einzuschränken oder zu verweigern. Wenn diese Richtlinieneinstellung aktiviert ist, so wird jedesmal ein Überwachungsereignis generiert, sobald ein Nutzer auf ein Wechselmedium zugreift.

Die Überwachungsrichtlinie wird unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Erweiterte Überwachungsrichtlinienkonfiguration | Systemüberwachungsrichtlinien | Objektzugriff konfiguriert. Erfolgsüberwachungen zeichnen erfolgreiche Versuche auf, auf ein Wechselmedium zu schreiben oder davon zu lesen. Fehlerüberwachungen zeichnen erfolglose Versuche auf, auf Wechselmedienobjekte zuzugreifen. Für die Protokollierung von Wechselmedien-Fehlerereignissen muss die Einstellung Handleänderung überwachen ebenfalls konfiguriert werden.

Im Rahmen der Überwachung sind allgemein auch folgende Aspekte zu berücksichtigen:

  • Der Datenschutzbeauftragte und der Personal- oder Betriebsrat sollten frühzeitig in die Planung der Überwachung mit einbezogen werden. Bei einer Überwachung werden meist auch personenbezogene Daten erfasst, um im Falle einer Sicherheitsverletzung den Verursacher zuverlässig feststellen zu können.
  • Damit die Überwachungskomponenten Protokolleinträge generieren, muss die Überwachung über die relevanten Gruppenrichtlinieneinstellungen aktiviert werden.
  • Clients ab Windows Vista und Server ab Windows Server 2008 stellen zur Überwachung zusätzlich die Protokoll-Funktionalität "Anwendungs- und Dienstprotokolle" zur Verfügung. Die bereits in älteren Microsoft Windows Versionen vorhandenen Windows-Protokolle sind um "Einrichtung" und "Weitergeleitete Ereignisse" ergänzt worden. Lokal kann für alle Protokolle die Protokollierung aktiviert oder deaktiviert werden. Weiterhin sind die Protokollgröße und das Verhalten bei Erreichen der maximalen Protokollgröße konfigurierbar.
  • Der Aufbau einer zentralen Sammelstelle von Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte von Microsoft oder von Drittherstellern erreicht werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe auch B 4.2 Netz- und Systemmanagement ), so ist es je nach Produkt möglich, die Windows Protokolldaten direkt in dieses Werkzeug zu importieren. Microsoft Windows ab Version Vista ermöglicht es, auf einem weiteren Windows-System ab Version Vista Ereignisse anderer Windows-Systeme abzurufen.
  • Sollte eine zentrale Sammelstelle von Protokolldateien auf Windows Vista oder folgenden Versionen eingesetzt werden, so sind sogenannte Abonnements zu konfigurieren. Vor der Erstellung von Abonnements müssen jedoch sowohl der Sammlungscomputer als auch der Quellcomputer für das Senden und Empfangen von Ereignissen entsprechend konfiguriert sein. Die Ereignisse der konfigurierten Abonnements werden auf dem Sammlungscomputer unter "Weitergeleitete Ereignisse" angezeigt. Das Abonnement ist eine neue Funktionalität ab Windows Vista.
    In einem Abonnement wird konfiguriert, welche Ereignisse gesammelt werden sollen. In einer Standardinstallation werden die Daten der weitergeleiteten Ereignisse über HTTP übertragen. Der Datentransport per HTTPS ist ebenfalls möglich und sollte gewählt werden.
    Die Client-Systeme ab Windows Vista und Server-Systeme ab Windows Server 2008- müssen konfiguriert werden, damit sie den Fernzugriff auf die entsprechenden Daten ermöglichen. Das kann mit Hilfe des Werkzeugs winrm erfolgen. Es sorgt dafür, dass entsprechende Ports in der Windows Firewall geöffnet werden.
    Auf dem System, auf dem die Auswertung durchgeführt wird, müssen Abonnements eingerichtet werden. Das kann unter Weitergeleitete Ereignisse | Eigenschaften | Abonnements konfiguriert werden.
  • Einzelne Überwachungsrichtlinien können unter Microsoft Windows ab Version Vista über Gruppenrichtlinien konfiguriert werden. Eine feinere Konfiguration der Überwachung als Ergänzung zu den Gruppenrichtlinien ist mit dem Werkzeug auditpol.exe möglich.
  • Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Zusätzlich führt eine intensive Überwachung zu Leistungsverlusten. Dadurch kann im Extremfall ein System so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst werden. Es ist zu beachten, dass die Anpassung auch Einfluss auf das gesamte Überwachungskonzept haben kann, da bestimmte Überwachungsaufgaben nicht mehr durchführbar sind. Dies gilt insbesondere dann, wenn zusätzliche Produkte eingesetzt werden, die hohe Anforderungen an die protokollierten Ereignisse stellen. Dies sind zum Beispiel Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.

Im Rahmen der Überwachung von Systemfunktionen empfiehlt sich auch die regelmäßige Kontrolle der AD -Replikation, mit der Konfigurationsänderungen an die Domänencontroller einer Domäne verteilt werden. Dazu können sowohl AD -Werkzeuge als auch das ADS-Log (Active Directory Service) und das FRS -Log (File Replication Service) auf Fehlermeldungen hin überprüft werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden. Dadurch besteht die Gefahr, dass einem Benutzer ungeeignete oder zu viele Rechte zugestanden werden.

Die Systemzeit spielt eine wichtige Rolle bei der Systemüberwachung und der Auswertung protokollierter Daten. Insbesondere wenn mehrere Systeme überwacht werden, sollte die Systemzeit auf allen Rechnern synchronisiert werden. Der Dienst Windows-Zeitgeber ist für die Zeitsynchronisierung verantwortlich und darf daher nicht deaktiviert werden.

In einer Active Directory-Umgebung kann ein Domänencontroller als Zeitgeber für die Domänenmitglieder genutzt werden. Ein hierarchischer Aufbau des Zeitdienstes von Windows ist möglich.

Die Domänencontroller nutzen den Primären Domänencontroller ( PDC ) Betriebsmaster oder einen Domänencontroller der übergeordneten Domäne als Zeitquelle. Die PDC -Betriebsmaster nutzen den PDC -Betriebsmaster der übergeordneten Domäne als Zeitquelle. Der PDC der Stammdomäne ist der autorisierende Zeitgeber. Ein Domänencontroller kann mit dem Kommando

net time /setsntp:<Zeitquelle>

so konfiguriert werden, dass er eine externe Zeitquelle zum Synchronisieren verwendet. Die Zeitquelle kann sich innerhalb oder außerhalb des eigenen Netzes befinden, wobei eine interne Zeitquelle bevorzugt eingesetzt werden sollte. Wird eine Zeitquelle außerhalb des eigenen Netzes verwendet, muss ihre Vertrauenswürdigkeit sichergestellt sein.

Client-Rechner, die keine Domänenmitglieder sind, benutzen standardmäßig den Microsoft Zeitserver time.windows.com. Sie können aber auch mit dem Kommando net time konfiguriert werden, dass sie eine andere Zeitquelle verwenden.

Prüffragen:

  • Wird die Synchronisierung der Systemzeit mittels einer zuverlässigen Zeitquelle sichergestellt?

  • Wurde ein bedarfsgerechtes Überwachungskonzept für IT-Systeme entworfen und umgesetzt?

  • Ist die Überwachung in den Gruppenrichtlinien bzw. den lokalen Einstellungen aktiviert worden?

  • Wurden Überwachungseinstellungen für wichtige Systemdateien und Registry-Einträge konfiguriert?

  • Werden wichtige Systemereignisse protokolliert?

  • Werden die Protokolldateien bei Erreichen der Maximalgröße gesichert?

Stand: 15. EL Stand 2016