(0) exportieren Drucken
Alle erweitern

Neues bei der Sicherheitsüberwachung

Veröffentlicht: Februar 2012

Letzte Aktualisierung: April 2012

Betrifft: Windows 8, Windows Server 2012

In diesem Dokument werden die Erweiterungen der Sicherheitsüberwachung für Windows 8 und Windows Server 2012 beschrieben. Diese Erweiterungen unterstützen IT-Experten, die Windows 8 und Windows Server 2012 für die Überwachung, Problembehandlung und Erzwingung der Sicherheitskonformität in einem Netzwerk verwenden.

Die Sicherheitsüberwachung gehört zu den leistungsstärksten Tools zur Erhaltung der Sicherheit eines Unternehmens. Eines der wichtigsten Ziele von Sicherheitsüberwachungen ist die Überprüfung der Einhaltung rechtlicher Bestimmungen. So müssen Unternehmen bei Industriestandards wie Sarbanes Oxley, HIPAA und Payment Card Industry (PCI) strenge Regeln zur Gewährleistung von Datensicherheit und Datenschutz befolgen. Sicherheitsüberwachungen helfen, das Vorhandensein oder Fehlen entsprechender Richtlinien festzustellen und geben Aufschluss über die Einhaltung oder Nichteinhaltung dieser Standards.

Darüber hinaus helfen Sicherheitsüberwachungen, anormales Verhalten zu erkennen, Lücken in Sicherheitsrichtlinien zu identifizieren und auszugleichen und vor unverantwortlichem Verhalten abzuschrecken, indem ein Datensatz der Benutzeraktivität erstellt wird, der zur forensischen Analyse verwendet werden kann.

Um im vollem Umfang von der Sicherheitsüberwachung profitieren zu können, müssen Administratoren die folgenden technischen Herausforderungen angehen:

Kontrollieren des Überwachungsvolumens   Einer der wichtigsten Aspekte von Sicherheitsüberwachungen sind die Kosten bezüglich der Sammlung, Speicherung und Analyse von Überwachungsereignissen. Sind die Überwachungsrichtlinien zu allgemein, steigt das Volumen der erfassten Überwachungsereignisse und damit auch die Kosten. Sind die Überwachungsrichtlinien zu eng gefasst, werden wichtige Ereignisse u. U. nicht erfasst.

Analysieren von Überwachungsereignissen    Das Durchsuchen des Überwachungsvolumens und das Auffinden der relevantesten Daten ist seit jeher eine große Herausforderung. Bei breit gefassten Überwachungsrichtlinien sind nicht alle Überwachungsereignisse relevant. Bei diesem Szenario ist die Frage "Wer greift auf meine sensiblen Daten zu?" häufig schwer zu beantworten.

Zentrales Verwalten von Überwachungsrichtlinien   Die globale Objektzugriffsüberwachung wurde in Windows 7 und Windows Server 2008 R2 eingeführt, um Überwachungsrichtlinien für das Dateisystem und die Registrierung zentral erstellen und verwalten zu können. Kunden sehen sich jedoch mit zwei großen Problemen konfrontiert:

  • Richtlinien mehrerer Gruppenrichtlinienobjekte werden nicht zusammengeführt – die effektive Richtlinie für die globale Objektzugriffsüberwachung stammt also aus dem ausschlaggebenden Gruppenrichtlinienobjekt.

  • Die globale Objektzugriffsüberwachung generiert ein großes Überwachungsvolumen.

Überwachen von Wechselmedien   In vielen Organisationen ist man um das Kopieren sensibler Daten auf Wechselmedien besorgt, die nicht von den internen IT-Organisationen kontrolliert werden. Windows 7 und Windows Server 2008 R2 bieten keine Unterstützung für die Überwachung von Wechselmedien. Dies hat zur Folge, dass Unternehmen die Sichtbarkeit, wer auf sensible Daten zugegriffen hat, verlieren, nachdem diese auf ein Wechselmedium kopiert wurden.

In Windows Server 2012 können Sie Überwachungsrichtlinien mithilfe von ausdrucksbasierten Überwachungsrichtlinien und Ressourceneigenschaften erstellen. Dadurch werden Szenarien möglich, die zuvor unmöglich oder zu schwierig durchzuführen waren.

Nach dem Erstellen und Anwenden der Überwachungsrichtlinien durch die Administratoren müssen diese als Nächstes die wichtigen Informationen aus den protokollierten Ereignissen heraussuchen. Ausdrucksbasierte Überwachungsrichtlinien können helfen, das Überwachungsvolumen zu reduzieren. Benutzer benötigen jedoch auch eine Möglichkeit, diese Ereignisse nach wichtigen Informationen abzufragen und Fragen zu stellen wie "Wer greift auf meine hochwertigen Daten zu?" oder "Gab es unautorisierte Versuche, auf sensible Daten zuzugreifen?" Windows Server 2012 erweitert vorhandene Datenzugriffsereignisse durch die Protokollierung zusätzlicher Informationen bezüglich Benutzer-, Computer- und Ressourcenansprüchen. Diese Ereignisse werden auf Serverbasis generiert.

noteHinweis
Für die Bereitstellung einer vollständigen Übersicht der Ereignisse in der Organisation arbeitet Microsoft mit seinen Partnern an einem Tool zur Ereigniserfassung und -analyse. Ein Beisiel hierfür ist der Erfassungsdienst für die System Center Operation Manager-Überwachung.

In der folgenden Tabelle werden die Änderungen an der Sicherheitsüberwachung in Windows Server 2012 zusammengefasst.

 

Feature/Funktionalität Frühere Windows-Versionen Windows Server 2012

Ausdrucksbasierte Überwachungsrichtlinien

X

Dateizugriffsüberwachung

X

X (weitere Informationen)

Erweiterte Benutzeranmeldungsüberwachung

X

X (weitere Informationen)

Überwachen neuer Typen sicherungsfähiger Objekte

X

Überwachen von Wechselmedien

X

In den folgenden Abschnitten werden diese Sicherheitsüberwachungsfeatures ausführlicher beschrieben.

In Windows Server 2012 werden ausdrucksbasierte Sicherheitsüberwachungsrichtlinien eingeführt. Mit der dynamischen Zugriffssteuerung in Windows Server 2012 können Sie gezielte Überprüfungsrichtlinien mithilfe von Ausdrücken erstellen, die auf Benutzer-, Computer- und Ressourcenansprüchen basieren.

Nachstehend finden Sie Beispiele für ausdrucksbasierte Überwachungsrichtlinien, die von Administratoren in Windows Server 2012 angewendet werden können :

  • Alle überwachen, die über keine hohe Sicherheitsfreigabe verfügen und dennoch versuchen, auf Dokumente mit hohem Geschäftswert zuzugreifen.

  • Alle Lieferanten überwachen, die versuchen, auf Dokumente von Projekten zuzugreifen, an denen sie nicht arbeiten.

Eng gefasste Richtlinien wie diese können helfen, das Volumen von Überwachungsereignissen zu regulieren und auf die Daten bzw. Benutzer mit der höchsten Relevanz zu beschränken.

Ausdrucksbasierte Überwachungsrichtlinien können direkt in einer Datei oder einem Ordner erstellt oder über die Gruppenrichtlinie zentral angewendet werden, wobei die globale Objektzugriffsüberwachung verwendet wird.

Windows Server 2012 ermöglicht Ihnen das Erstellen ausdrucksbasierter Überwachungsrichtlinien über die globale Objektzugriffsüberwachung. Darüber hinaus werden die Richtlinien der globalen Objektzugriffsüberwachung aus mehreren auf den Computern befindlichen Gruppenrichtlinienobjekten zusammengeführt. Dadurch wird folgendes Szenario möglich:

Die IT-Richtlinien des Unternehmens sehen die Überwachung des gesamten Lese- und Schreibzugriffs auf alle Dokumente vor, die als HBI (High Business Impact) und damit als unternehmenskritisch gekennzeichnet sind. Darüber hinaus erfordert die Finanzabteilung die Überwachung des gesamten Lese- und Schreibzugriffs auf alle Dokumente, die zur Finanzabteilung gehören. Der IT-Administrator des Unternehmens kann eine unternehmensweite Richtlinie implementieren, indem er eine Richtlinie für die globale Objektzugriffsüberwachung in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellt (um den Zugriff auf HBI-Daten zu überwachen) und dieses GPO dann für alle Dateiserver im Unternehmen bereitstellt. Ebenso kann der Dateiserveradministrator für die Finanzabteilung ein anderes GPO erstellen und die Richtlinie für die globale Objektzugriffsüberwachung zur Überwachung aller Finanzdaten erstellen.

Die Dateizugriffsüberwachung ist in Windows Server 2012 und Windows 8 enthalten. Mit der entsprechenden Überwachungsrichtlinie generiert das Windows-Betriebssystem jedes Mal, wenn ein Benutzer auf eine Datei zugreift, ein Überwachungsereignis.

In Windows Server 2012 und Windows 8 enthalten vorhandene Dateizugriffsereignisse (4656, 4663) Informationen zu den Attributen der Datei, auf die zugegriffen wurde. Diese zusätzlichen Informationen können von Tools für die Ereignisprotokollfilterung verwendet werden, um Ihnen bei der Identifizierung der wichtigsten Überwachungsereignisse für eine genauere Prüfung zu helfen. Weitere Informationen finden Sie unter Überwachen der Handleänderung und Überwachen von SAM.

Windows Server 2012 und Windows 8 beinhalten eine Überwachung der Benutzeranmeldung. Mit der entsprechenden Überwachungsrichtlinie generiert das Windows-Betriebssystem jedes Mal, wenn ein Benutzer sich lokal oder per Remoteverbindung an einem Computer anmeldet, ein Überwachungsereignis (4624). Weitere Informationen finden Sie unter Überwachen der Anmeldung. In Windows Server 2012 und Windows 8 enthält ein neues Ereignis (4626) Informationen zu den Attributen der Datei, auf die zugegriffen wurde. Diese zusätzlichen Informationen können durch Tools für die Überwachungsprotokollverwaltung dazu verwendet werden, eine auf Datei- und Benutzerattributen basierende Ereignisfilterung zu aktivieren.

Unternehmen können die Möglichkeit der Verwendung von Wechselmedien durch Benutzer mithilfe einer Richtlinie für den Wechselmedienzugriff einschränken oder verweigern. In früheren Versionen der Betriebssysteme Windows und Windows Server konnten Administratoren die Verwendung von Wechselmedien jedoch nicht nachverfolgen. Wenn Sie diese Richtlinieneinstellung in Windows Server 2012 und Windows 8 konfigurieren, wird immer dann ein Überwachungsereignis generiert, wenn ein Benutzer versucht, auf ein Wechselmedium zuzugreifen. Erfolgsüberwachungen (Ereignis 4663) zeichnen erfolgreiche Versuche auf, auf ein Wechselmedium zu schreiben oder davon zu lesen. Fehlerüberwachungen (Ereignis 4656) zeichnen erfolglose Versuche auf, auf Wechselmedienobjekte zuzugreifen.

noteHinweis
Für die Protokollierung von Wechselmedien-Fehlerereignissen muss die Einstellung "Handleänderung überwachen" ebenfalls generiert werden.

Diese Überwachungsrichtlinie wird unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Objektzugriff angezeigt.

In der folgenden Tabelle werden zusätzliche Ressourcen zur Bewertung der Sicherheitsüberwachung in Windows 8 und Windows Server 2012 aufgeführt.

 

Inhaltstyp Verweise

Produktbewertung

Das folgende Dokument enthält zusätzliche Informationen zum Anwenden neuer Sicherheitsüberwachungsfeatures mit der dynamischen Zugriffssteuerung: Szenario: Dateizugriffsüberwachung.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft