Bedrohungen und Gegenmaßnahmen

  • Artikel

Kapitel 6: Ereignisprotokoll

Im Ereignisprotokoll werden Ereignisse auf dem Computer erfasst, während im Sicherheitsprotokoll Überwachungsereignisse aufgezeichnet werden. Der Ereignisprotokoll-Container der Gruppenrichtlinie dient zum Definieren von Attributen für die Anwendungs-, Sicherheits- und Systemereignisprotokolle, z. B. maximale Protokollgröße, Zugriffsrechte für jedes Protokoll sowie Einstellungen für die Dauer und Methode der Aufbewahrung. In der in diesem Handbuch enthaltenen Microsoft® Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“ werden die Standardeinstellungen für Ereignisprotokolle dokumentiert.

Auf dieser Seite

Ereignisprotokolleinstellungen
Weitere Informationen

Ereignisprotokolleinstellungen

Die Ereignisprotokolleinstellungen können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Ereignisprotokoll\Einstellungen für Ereignisprotokolle

Maximale Größe des Ereignisprotokolls

Durch diese Richtlinieneinstellung wird die maximale Größe für Anwendungs-, Sicherheits- und Systemereignisprotokolle festgelegt. Obwohl Sie über die Benutzeroberflächen des Gruppenrichtlinienobjekt-Editors und des Ereignisanzeige-Snap-Ins der Microsoft Management Console (MMC) Werte bis zu 4 GB (Gigabyte) eingeben können, ist die effektive Maximalgröße für die Protokolle aufgrund bestimmter Faktoren deutlich geringer.

Der Ereignisprotokolldienst verwendet dem Speicher zugeordnete Dateien und wird als einer der Dienste unter dem Prozess Services.exe als Eventlog.dll ausgeführt. Wenn Dateien auf diese Weise geladen werden, wird die gesamte Datei in den Computerspeicher geladen. Alle aktuellen Versionen von Microsoft Windows® unterliegen in Bezug auf Dateien, die dem Speicher zugeordnet sind, einer durch die Systemarchitektur bedingten Beschränkung: Kein Prozess kann insgesamt mehr als 1 GB an Dateien verarbeiten, die dem Speicher zugeordnet sind. Diese Beschränkung bedeutet, dass sich alle Dienste, die unter dem Prozess Services.exe ausgeführt werden, den 1-GB-Pool teilen müssen. Der Speicher wird in Form von angrenzenden 64-KB-Speichersegmenten zugewiesen. Wenn der Computer den Dateien, die dem Speicher zugeordnet sind, keinen zusätzlichen, für die Erweiterung dieser Dateien erforderlichen Speicher zuweisen kann, treten Probleme auf.

Für den Ereignisprotokolldienst bedeutet die Verwendung von Dateien, die dem Speicher zugeordnet sind, dass (unabhängig von der durch die Einstellung Maximale Größe des Ereignisprotokolls festgelegten Speicherplatzes) Protokollereignisse nicht mehr im Protokoll aufgezeichnet werden können, wenn dem Computer nicht genügend Speicher für die dem Speicher zugeordneten Dateien zur Verfügung steht. Dabei werden jedoch keine Fehlermeldungen angezeigt, sondern die Ereignisse werden einfach nicht im Ereignisprotokoll aufgezeichnet oder überschreiben möglicherweise andere Ereignisse, die früher aufgezeichnet wurden. Außerdem führt die Fragmentierung von Protokolldateien im Speicher zu einer erheblichen Beeinträchtigung der Leistung auf stark beanspruchten Computern.

Microsoft hat festgestellt, dass aufgrund dieser Beschränkungen auf den meisten Servern die tatsächliche Grenze bei 300 MB liegt, auch wenn der theoretische Grenzwert für dem Speicher zugeordnete Dateien andere Schlussfolgerungen zulässt und über die Benutzeroberflächen der Ereignisanzeige und des Gruppenrichtlinienobjekt-Editors Eingaben bis zu 4 GB pro Protokoll zulässig sind, wobei sich der Wert von 300 MB auf alle Ereignisprotokolle zusammengenommen bezieht. Auf Mitgliedsservern und eigenständigen Servern unter Microsoft Windows XP sollte die Gesamtgröße der Anwendungs-, Sicherheits- und Systemereignisprotokolle den Wert von 300 MB nicht überschreiten. Auch auf Domänencontrollern sollte die Gesamtgröße dieser drei Protokolle inklusive Active Directory®-Verzeichnisdienst, DNS-Protokoll und Replikationsprotokoll maximal 300 MB betragen.

Diese Beschränkungen haben bei manchen Microsoft-Kunden zu Problemen geführt, die sich jedoch nur durch grundlegende Änderungen bei der Protokollierung von Systemereignissen beheben lassen. Microsoft arbeitet zur Lösung dieser Probleme an einem neuen Ereignisprotokollsystem, das in der nächsten Version von Windows zur Verfügung stehen soll.

Obwohl es keine einfache Formel zur Bestimmung der optimalen Protokollgröße für einen bestimmten Server gibt, können Sie die geeignete Größe abschätzen. Ein durchschnittliches Ereignis belegt in jedem Protokoll etwa 500 Byte. Außerdem muss die Größe jeder Protokolldatei ein Vielfaches von 64 KB sein. Sie können auf Grundlage einer Schätzung der durchschnittlich pro Tag in Ihrer Organisation für jeden Protokolltyp anfallenden Ereignisse eine geeignete Größe für jeden Protokolldateityp festlegen.

Wenn z. B. Ihr Dateiserver im Durchschnitt 5.000 Ereignisse pro Tag in seinem Sicherheitsprotokoll erzeugt und sichergestellt werden soll, dass jederzeit Daten aus einem Zeitraum von mindestens vier Wochen verfügbar sind, legen Sie die Größe dieses Protokolls auf etwa 70 MB fest. (500 Byte * 5000 Ereignisse/Tag * 28 Tage = 70.000.000 Byte). Überprüfen Sie dann innerhalb der nächsten vier Wochen gelegentlich die Server, um sicherzustellen, dass Ihre Berechnungen richtig sind und die Protokolle Ihren Anforderungen entsprechend in ausreichendem Umfang Ereignisse aufzeichnen und aufbewahren. Die Ereignisprotokollgröße und der Protokollumbruch sollten in Übereinstimmung mit den Geschäfts- und Sicherheitsanforderungen definiert werden, die Sie bei Erstellung des Sicherheitsplans für Ihre Organisation festgelegt haben.

Für die Einstellung Maximale Größe des Ereignisprotokolls sind folgende Werte möglich:

  • Benutzerdefinierter Wert in KB zwischen 64 und 4.194.240. Es muss sich jedoch um ein Vielfaches von 64 handeln.
Sicherheitsanfälligkeit

Wenn Sie die Anzahl der zu überwachenden Objekte in Ihrer Organisation erheblich erhöhen, kann dies dazu führen, dass das Sicherheitsprotokoll seine Kapazitätsgrenze erreicht und dadurch das Herunterfahren des Computers erzwungen wird, sofern die Einstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können aktiviert wurde. Wenn der Computer auf diese Weise heruntergefahren wird, kann er erst wiederverwendet werden, wenn ein Administrator das Sicherheitsprotokoll gelöscht hat. Um das Herunterfahren zu verhindern, deaktivieren Sie die Einstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können (siehe Kapitel 5, „Sicherheitsoptionen“), und erhöhen Sie den Wert für die Sicherheitsprotokollgröße. Wahlweise können Sie auch die automatische Protokollrotation konfigurieren. Informationen dazu finden Sie im Microsoft Knowledge Base-Artikel „Ereignisprotokoll beendet Protokollierung vor Erreichen der maximalen Protokollgröße“ (in englischer Sprache) unter https://support.microsoft.com/kb/312571/en-us.

Gegenmaßnahme

Auf allen Computern in der Organisation sollten sinnvolle Richtlinien für die Protokollgröße aktiviert sein, damit legitimierte Benutzer gegebenenfalls für Ihre Handlungen zur Verantwortung gezogen, nicht autorisierte Handlungen erkannt und erfasst sowie Computerprobleme entdeckt und analysiert werden können.

Mögliche Auswirkung

Wenn Ereignisprotokolle ihre Kapazitätsgrenze erreicht haben, können keine neuen Einträge mehr hinzugefügt werden, es sei denn, durch die Aufbewahrungsmethode ist festgelegt, dass vom Computer die ältesten Einträge durch die neuesten Einträge überschrieben werden. Um das Risiko zu verringern, dass neuere Daten verloren gehen, können Sie die Aufbewahrungsmethode so konfigurieren, dass ältere Einträge bei Bedarf überschrieben werden.

Diese Konfiguration hat zur Folge, dass ältere Ereignisse aus den Protokollen entfernt werden. Angreifer können diese Konfiguration zu Ihrem Vorteil nutzen, indem Sie eine große Anzahl an externen Ereignissen erzeugen, um die Spuren Ihres Angriffs zu verbergen. Dieses Risiko kann verringert werden, wenn die Archivierung und Sicherung von Ereignisprotokolldaten automatisiert wird.

Idealerweise werden alle besonders überwachten Ereignisse an einen Server gesendet, der MOM (Microsoft Operations Manager) oder ein anderes automatisiertes Überwachungsprogramm verwendet. Eine solche Konfiguration ist besonders wichtig, da ein Angreifer, der sich erfolgreich Zugriff auf einen Server verschafft, das Sicherheitsprotokoll löschen kann. Wenn alle Ereignisse an einen Überwachungsserver gesendet werden, können vor Gericht verwendbare Informationen zu den Aktivitäten des Angreifers gesammelt werden.

Lokalen Gastkontozugriff auf Ereignisprotokolle verhindern

Durch diese Richtlinieneinstellung wird festgelegt, ob Gäste auf die Anwendungs-, Sicherheits- und Systemereignisprotokolle zugreifen können.

Für die Einstellung Lokalen Gastkontozugriff auf Ereignisprotokolle verhindern sind folgende Werte möglich:

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Hinweis: Diese Richtlinieneinstellung wird im Richtlinienobjekt des lokalen Computers nicht angezeigt.

Diese Richtlinieneinstellung wirkt sich nur auf Computer aus, die unter Windows 2000 und höheren Windows-Versionen ausgeführt werden.

Sicherheitsanfälligkeit

Ein Angreifer, der sich erfolgreich mit Gastberechtigungen an einem Computer angemeldet hat, kann Zugriff auf wichtige, den Computer betreffende Informationen erhalten, wenn er in der Lage ist, die Ereignisprotokolle anzuzeigen. Der Angreifer könnte diese Informationen dann verwenden, um weitere Sicherheitslücken zu implementieren.

Gegenmaßnahme

Aktivieren Sie die Einstellung Lokalen Gastkontozugriff auf Ereignisprotokolle verhindern für die Richtlinien aller drei Ereignisprotokolle.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Ereignisprotokolle aufbewahren

Durch diese Richtlinieneinstellung wird die Anzahl der Tage festgelegt, die Ereignisprotokolldaten für Anwendungs-, Sicherheits- und Systemprotokolle aufbewahrt werden, wenn für das Protokoll die Aufbewahrungsmethode Nach Tagen festgelegt wurde. Konfigurieren Sie diese Einstellung nur, wenn das Protokoll regelmäßig archiviert wird, und stellen Sie sicher, dass die maximale Protokollgröße für das Archivierungsintervall ausreicht.

Für die Einstellung Ereignisprotokolle aufbewahren sind folgende Werte möglich:

  • Benutzerdefinierte Anzahl von Tagen zwischen 1 und 365

  • Nicht definiert

Hinweis: Diese Richtlinieneinstellung wird im Richtlinienobjekt des lokalen Computers nicht angezeigt.

Für den Zugriff auf das Sicherheitsprotokoll muss das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokoll zugewiesen sein.

Sicherheitsanfälligkeit

Wenn das Protokoll regelmäßig archiviert wird, gehen Sie wie folgt vor:

  1. Öffnen Sie das Dialogfeld Eigenschaften für diese Richtlinie.

  2. Geben Sie für die Einstellung Anwendungsprotokoll aufbewahren die entsprechende Anzahl der Tage an.

  3. Wählen Sie als Aufbewahrungsmethode für das Ereignisprotokoll die Option Ereignisse auf Tagen basierend überschreiben.

Stellen Sie auch sicher, dass die maximale Protokollgröße für das Archivierungsintervall ausreicht.

Gegenmaßnahme

Setzen Sie die Einstellung Ereignisprotokolle aufbewahren für die Richtlinien aller drei Ereignisprotokolle auf Nicht definiert.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Aufbewahrungsmethode für das Ereignisprotokoll

Durch diese Richtlinieneinstellung wird die Umbruchmethode für Anwendungs-, Sicherheits- und Systemprotokolle festgelegt.

Wenn das Anwendungsprotokoll nicht archiviert werden soll, gehen Sie wie folgt vor:

  1. Öffnen Sie das Dialogfeld Eigenschaften für diese Richtlinie.

  2. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren.

  3. Klicken Sie auf Ereignisse bei Bedarf überschreiben.

Wenn das Protokoll regelmäßig archiviert werden soll, gehen Sie wie folgt vor:

  1. Öffnen Sie das Dialogfeld Eigenschaften für diese Richtlinie.

  2. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren.

  3. Klicken Sie auf Ereignisse auf Tagen basierend überschreiben.

  4. Geben Sie für die Einstellung Anwendungsprotokoll aufbewahren die entsprechende Anzahl der Tage an. Stellen Sie sicher, dass die maximale Protokollgröße für das Archivierungsintervall ausreicht.

Wenn alle Ereignisse im Protokoll aufbewahrt werden müssen, gehen Sie wie folgt vor:

  1. Öffnen Sie das Dialogfeld Eigenschaften für diese Richtlinie.

  2. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren.

  3. Klicken Sie auf Ereignisse nicht überschreiben (Protokoll manuell aufräumen).

Wenn Sie diese Option wählen, müssen Sie das Protokoll manuell löschen. Bei dieser Konfiguration werden neue Ereignisse nicht berücksichtigt, wenn die maximale Protokollgröße erreicht ist.

Für die Einstellung Aufbewahrungsmethode für das Ereignisprotokoll sind folgende Werte möglich:

  • Ereignisse auf Tagen basierend überschreiben

  • Ereignisse bei Bedarf überschreiben

  • Ereignisse nicht überschreiben (Protokoll manuell aufräumen)

  • Nicht definiert

Hinweis: Diese Richtlinieneinstellung wird im Richtlinienobjekt des lokalen Computers nicht angezeigt.

Sicherheitsanfälligkeit

Wenn Sie die Anzahl der zu überwachenden Objekte in Ihrer Organisation erheblich erhöhen, kann dies dazu führen, dass das Sicherheitsprotokoll seine Kapazitätsgrenze erreicht und dadurch das Herunterfahren des Computers erzwungen wird. Wenn der Computer auf diese Weise heruntergefahren wird, kann er erst wiederverwendet werden, wenn ein Administrator das Sicherheitsprotokoll gelöscht hat. Um das Herunterfahren zu verhindern, deaktivieren Sie die Einstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können (siehe Kapitel 5, „Sicherheitsoptionen“), und erhöhen Sie den Wert für die Sicherheitsprotokollgröße.

Wenn Sie als Aufbewahrungsmethode für das Ereignisprotokoll die Option Manuell oder Ereignisse auf Tagen basierend überschreiben festlegen, kann das zur Folge haben, dass wichtige neue Ereignisse nicht aufgezeichnet werden oder dass es zu einem DoS-Angriff kommt.

Gegenmaßnahme

Wählen Sie als Aufbewahrungsmethode für alle drei Ereignisprotokolle die Option Ereignisse bei Bedarf überschreiben. Einige Quellen empfehlen, diese Einstellung auf Manuell zu setzen. In den meisten Organisationen ist jedoch der zusätzliche Verwaltungsaufwand, der durch diese Einstellung verursacht wird, zu hoch.

Idealerweise werden alle wichtigen Ereignisse an einen Überwachungsserver gesendet, der MOM oder ein anderes automatisiertes Überwachungsprogramm verwendet.

Mögliche Auswirkung

Wenn Ereignisprotokolle ihre Kapazitätsgrenze erreicht haben, können keine neuen Einträge mehr hinzugefügt werden, es sei denn, durch die Aufbewahrungsmethode ist festgelegt, dass der Computer die ältesten Einträge durch die neuesten Einträge überschrieben kann.

Zugriff auf die Ereignisprotokolle delegieren

Unter Microsoft Windows Server™ 2003 können die Berechtigungen für jedes Ereignisprotokoll auf einem Computer angepasst werden. Diese Funktion war in vorherigen Windows-Versionen nicht verfügbar. Einige Organisationen möchten möglicherweise einzelnen Mitgliedern der IT-Abteilung nur Lesezugriff auf ein oder mehrere Systemereignisprotokolle gewähren. Die Zugriffssteuerungsliste (ACL) wird als SDDL-String (Security Descriptor Definition Language) in einem REG_SZ-Wert mit dem Namen „CustomSD“ für jedes Ereignisprotokoll in der Registrierung gespeichert, wie im folgenden Beispiel gezeigt:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD
Erstellen eines REG_SZ-Registrierungswertes O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)
(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)
(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

Wenn Sie diesen Wert bearbeiten, wird die neue Einstellung nach dem Neustart des Computers wirksam.

Vorsicht: Bei der Bearbeitung der Registrierungswerte ist Vorsicht geboten, da es keine Wiederherstellungsfunktion im Registrierungs-Editor gibt. Wenn Sie einen Fehler machen, müssen Sie diesen manuell korrigieren. Darüber hinaus müssen Sie darauf achten, dass Sie nicht versehentlich die Zugriffssteuerungslisten für ein Ereignisprotokoll so konfigurieren, dass niemand mehr Zugriff darauf hat. Stellen Sie sicher, dass Sie SDDL und die Standardberechtigungen für jedes Ereignisprotokoll vollständig verstanden haben, bevor Sie fortfahren. Es ist auch wichtig, dass alle Änderungen sorgfältig getestet werden, bevor Sie sie in einer Produktionsumgebung implementieren.

Weitere Informationen zum Konfigurieren der Sicherheit für Ereignisprotokolle unter Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel „Einrichten der Ereignisprotokollsicherheit unter Windows Server 2003 – Lokal oder mithilfe von Gruppenrichtlinien“ (in englischer Sprache) unter https://support.microsoft.com/kb/323076/en-us.

Weitere Informationen zu SDDL finden Sie unter „Security Descriptor Definition Language“ auf der MSDN®-Website unter https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/
security/security_descriptor_definition_language.asp.

Weitere Informationen

Die folgenden Links bieten weitere Informationen zur Ereignisprotokollierung unter Windows Server 2003 und Windows XP.

In diesem Beitrag

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

 Dd443753.pageLeft(de-de,TechNet.10).gif 7 von 14 Dd443753.pageRight(de-de,TechNet.10).gif