• Artikel

Sonderbeitrag: Windows Server 2008

Überwachung und Einhaltung gesetzlicher Bestimmungen in Windows Server 2008

Rob Campbell und Joel Yoker

 

Kurz zusammengefasst:

  • Die zunehmende Bedeutung der Einhaltung gesetzlicher Bestimmungen
  • Verstehen von Änderungen in Ihrer Umgebung
  • Herausforderungen bei der Überwachung von Sicherheitsereignissen
  • Technische Aspekte der Überwachung

Die Welt der Informationstechnologie ist kontinuierlichen Änderungen unterworfen. Wie es bei den meisten IT-Organisation der Fall ist, werden auch Sie unter zunehmendem Druck stehen, die in Ihrer Umgebung stattfindenden Änderungen zu verstehen. Mit zunehmender Komplexität und Größe von IT-Umgebungen erhöhen sich die Auswirkungen von

administrativen Fehlern und der unbeabsichtigten Offenlegung vertraulicher Daten. In der heutigen Gesellschaft muss Verantwortung für solche Ereignisse übernommen werden. Folglich sind Organisationen jetzt gesetzlich für den Schutz der von ihnen verwalteten Informationen verantwortlich.

Dabei ist die Überwachung von Änderungen in Ihrer Umgebung ein wichtiger Aspekt. Warum ist dies der Fall? Überwachung bietet die Mittel für das Verständnis sowie die Verwaltung von Änderungen in den großen, stark verteilten IT-Umgebungen von heute. In diesem Artikel geht es um häufige Herausforderungen, denen sich die meisten Organisationen gegenüber sehen, die Einhaltung von Richtlinien und Vorschriften im IT-Bereich, die Grundlagen der Überwachung in Windows® und darum, wie die Funktionalität von Windows Server® 2008 und Microsoft® System Center Operations Manager 2007-Überwachungssammeldienste (Audit Collection Services, ACS) als Ergänzung einer umfassenden Überwachungsstrategie dienen kann.

Herausforderungen bei der Überwachung

Ein kurzer Blick auf die Schlagzeilen der Nachrichten verdeutlicht, dass die Offenlegung vertraulicher Daten ein alltägliches Problem ist. Viele dieser Vorfälle bringen gerichtliche Schritte, finanzielle Verluste und Public Relations-Probleme für die betreffenden Organisationen mit sich. Die Auswirkungen einer Offenlegung vertraulicher Dateien können erheblich verringert werden, wenn Sie über die Fähigkeit verfügen, aufgetretene Änderungen zu erklären bzw. Probleme schnell zu identifizieren.

Angenommen Ihre Organisation ist für das Verwalten personenbezogener Informationen (Personally Identifiable Information, PII) für einen bestimmten Kundenkreis verantwortlich. Obwohl es eine Reihe von Möglichkeiten zum Schutz der in Ihren Systemen enthaltenen Informationen gibt, kann es dennoch zu Gefährdungen kommen. Bei richtiger Überwachung weiß die Organisation genau, welche Systeme gefährdet wurden, und vielleicht sogar, welche Daten verloren gegangen sind. Ohne Überwachung könnten die Auswirkungen von Datenverlusten erheblich größer sein, da es keine Möglichkeit gäbe, das Ausmaß der Gefährdung einzuschätzen.

Warum unternehmen die meisten IT-Organisationen in diesem Bereich also noch nichts? Tatsache ist, dass viele Organisationen die technischen Aspekte der Überwachung nicht vollständig verstehen. Obwohl leitende Mitarbeiter Konzepte wie Sicherung und Wiederherstellung im Allgemeinen verstehen, ist die Komplexität, die mit der Überwachung von Änderungen in der Umgebung verknüpft ist, schwer zu vermitteln. Demzufolge werden Fragen zur Überwachung erst dann gestellt, wenn es zu einem bedeutenden Vorfall gekommen ist. Die grundlegende Überwachung könnte beispielsweise aktiviert sein, aber wenn das System aufgrund mangelnder Planung nicht so konfiguriert ist, dass bestimmte Änderungen überwacht werden, können diese Informationen nicht gesammelt werden.

Zudem gibt es bei überwachten Sicherheitsereignissen eine Reihe von Problemen, die von IT-Experten behandelt werden müssen. Eine solche Schwierigkeit ist die Verteilung der Systeme innerhalb der großen Computerumgebungen von heute, wodurch bedeutende Herausforderungen beim Sammeln und Aggregieren von Informationen entstehen, da es auf jedem System oder Satz von Systemen jederzeit zu Änderungen kommen kann. Dies führt zu einer weiteren Herausforderung: der Korrelation. Oft ist das Übersetzen von Beziehungen zwischen Ereignissen auf einzelnen und mehreren Systemen erforderlich, um die wahre Bedeutung von Ereignissen zu ermitteln.

Ein weiteres Problem besteht darin, dass die Überwachung in der Regel die traditionellen Organisationsgrenzen übersteigt. Unterschiedliche Organisations- oder Teamstrukturen existieren aus verschiedenen Gründen und lassen sich möglicherweise nicht leicht überbrücken. Viele Organisationen verfügen über ein Verzeichnisdienstteam, ein Messaging-Infrastrukturteam und ein Desktopteam, aber wahrscheinlich gibt es nur ein Sicherheitsteam, das für alle diese Bereiche verantwortlich ist. Zudem ist das dedizierte Sicherheitspersonal für Ihre Organisation möglicherweise nicht an allen Standorten physisch anwesend. Zweigstellen beispielsweise verlassen sich oft auf eine einzige Person oder ein kleines Team für alle Aufgaben einschließlich der Verwaltung von Sicherheitsereignisprotokollen.

Schließlich bedeute die reine Quantität der Ereignisse bereits eine Herausforderung. Überwachte Sicherheitsereignisse treten in viel höherem Umfang als andere Arten der Ereignisprotokollierung auf. Die Anzahl der gesammelten Ereignisse erschwert ein wirksames Aufbewahren und Überprüfen von Protokollen. Die aktuelle und geplante Gesetzgebung enthält Anforderungen für die Datenaufbewahrung, was die Verwaltung heutiger Computinginfrastrukturen nicht einfacher macht.

In der Vergangenheit gründete die Überwachung des Zugriffs auf Informationen einerseits auf dem Wunsch, über Vorgänge informiert zu sein, andererseits auf dem Versuch, Systeme sicherer zu gestalten. Doch heute, da Organisationen (und die für sie verantwortlichen leitenden Mitarbeiter) gesetzlich für den Verlust von Informationen oder einen Mangel an angemessenen Schutzvorrichtungen zur Verantwortung gezogen werden, ist es für IT-Administratoren äußerst wichtig, sich mit den Regelungen vertraut zu machen, die für ihre Umgebungen gelten könnten. Für globale Unternehmen sind die Herausforderungen noch komplexer, da jedes Land eigene Regelungen in Bezug auf Informationen und Datenschutz hat. In Abbildung 1 sind einige Beispiele für die Gesetzgebung zur Einhaltung von Bestimmungen sowie die entsprechenden Anforderungen an IT-Organisationen aufgeführt.

Figure 1 Vorschriften und ihre Bedeutung für IT-Experten

Vorschrift Anforderungen
Sarbanes-Oxley Act von 2002 (SOX) Abschnitt 404 erkennt die Rolle von Informationssystemen an und fordert von börsennotierten Unternehmen eine jährliche Prüfung ihrer internen Kontrollen bezüglich ihrer Finanzberichte.
Health Insurance Portability and Accountability Act (HIPPA) Behandelt die Sicherheit und den Datenschutz innerhalb von Gesundheitsdiensten. Die „Sicherheitsregel“ deckt administrative, physische und technische Schutzvorrichtungen für diese Daten ab.
Electronic Discovery (eDiscovery) Definiert Standards für die Aufbewahrung von Dokumenten und den Zugriff darauf, einschließlich Verantwortlichkeit dafür, wer auf Dokumente zugreift und auf welche Weise.
Federal Information Security Management Act von 2002 (FISMA) Bundesmandat für die Bereitstellung eines umfassenden Informationssicherheitsrahmens (INFOSEC) für US-Regierungssysteme, Koordination mit verschiedenen Strafverfolgungsbehörden, Einrichtung von Kontrollen, Anerkennung von Handelsprodukten und Softwarefunktionen. Abschnitt 3544 befasst sich mit der Verantwortung von Dienststellen, einschließlich IT-Kontrollen.
Federal Information Processing Standards (FIPS) Veröffentlichung 200 Gibt die Mindestsicherheitsanforderungen für Bundesinformationen und Informationssysteme an und skizziert die Verwendung von Empfehlungen in NIST Special Publication (SP) 800-53. NIST SP800-53, Abschnitt AU-2 (Überwachbare Ereignisse) legt fest, dass Informationssysteme die Funktion zum Kompilieren von Überwachungsaufzeichnungen aus verschiedenen Komponenten in einem systemweiten, zeitkorrelierten Überwachungsprotokoll bieten, überwachte Ereignisse gemäß individueller Komponenten verwalten sowie gewährleisten müssen, dass die Organisation überwachbare Ereignisse regelmäßig überprüft.

Welche Schritte sollten IT-Experten nun bei all diesem gesetzlichen Druck unternehmen? IT-Manager und Techniker müssen klare und präzise Vorgaben erstellen, die sie Personen innerhalb und außerhalb der Organisation präsentieren können. Diese umfassen die Entwicklung einer angemessenen Überwachungsstrategie, für die proaktive Maßnahmen und Investitionen erforderlich sind. Das wesentliche Konzept dabei besteht darin, dass Überwachung nicht erst nach dem Entwurf ins Spiel kommt, wie es allzu oft der Fall ist.

IT-Herausforderungen wie diese können in der Regel durch eine Kombination aus Personen, Prozessen und Technologie gelöst werden. Bei der Überwachung ist der Prozess von besonderer Bedeutung. Daher sollte der erste Schritt darin bestehen, die Grundlagen zu erlernen, damit Sie auf die Anforderungen Ihrer Organisation im Bereich der Einhaltung gesetzlicher Bestimmungen reagieren können. Im Folgenden werden einige der Grundlagen der Überwachung in Windows und anschließend die Änderungen in Windows Server 2008 und Windows Vista® erörtert.

Die Überwachung von Sicherheitsereignissen

Alle überwachten Ereignisse werden im Windows-Sicherheitsereignisprotokoll aufgezeichnet. Diese Ereignisse erfordern in der Regel nicht sofort eine Aktion und sind oft lediglich informativ. Jedes Ereignis zeichnet einen einfachen Überwachungserfolg oder Überwachungsfehler für eine bestimmte Art des Zugriffs auf, die stattgefunden hat. Dies unterscheidet sich von den Anwendungs- oder Systemereignisprotokollen, bei denen Probleme über eine Farbcodierung identifiziert werden können (Hinweis: suchen Sie nach den roten Ereignissen, um das Problem zu finden).

Das Sicherheitsereignisprotokoll unterscheidet sich dadurch, dass überwachte Ereignisse oft aufgrund ihres Umfangs verborgen sind, und, wie bereits angemerkt, die Korrelation von Sicherheitsdaten eine bedeutende Herausforderung darstellen kann. Selbst eine einfache Datenverletzung auf einem einzelnen System ist problematisch. Das Sicherheitsereignisprotokoll müsste analysiert werden, um festzustellen, welches Konto für den Zugriff auf die Daten verwendet wurde. Dazu müsste ein Administrator das Protokoll durchsuchen, um das Konto zu finden. Leider sind die heutigen hoch entwickelten Angriffe oft koordiniert und verteilt, sodass diese Art der Analyse für einen Administrator recht schwierig wird.

Dennoch ist es wichtig, die Hauptelemente zu verstehen, die die Aufzeichnung von Informationen im Sicherheitsereignisprotokoll in Windows ermöglichen. Überwachungsrichtlinie und Systemzugriffssteuerungslisten (System Access Control Lists, SACLs). Überwachungsrichtlinien sind konfigurierbare Einstellungen für einen lokalen Computer durch die Gruppenrichtlinie oder lokale Sicherheitsrichtlinie. Durch Überwachungsrichtlinien wird die Sammlung von Erfolgs- und Fehlerereignissen für bestimmte Zugriffsarten definiert. Die folgenden Hauptkategorien für Überwachungsrichtlinien gibt es in Windows bereits seit vielen Jahren (später mehr zur neuen präzisen Überwachungsrichtlinie in Windows Server 2008):

  • Überwachen von Kontoanmeldungsereignissen
  • Überwachen der Kontoverwaltung
  • Überwachen des Verzeichnisdienstzugriffs
  • Überwachen von Anmeldeereignissen
  • Überwachen des Objektzugriffs
  • Überwachen von Richtlinienänderungen
  • Überwachen der Rechteverwendung
  • Überwachen der Prozessverfolgung
  • Überwachen von Systemereignissen

Die meisten IT-Organisationen sind sich der Anforderung bewusst, eine Überwachungsrichtlinie sowie diese zugeordneten Kategorien zu definieren, doch die Überwachungsrichtlinie stellt lediglich einen Teil der Lösung dar. SACLs spielen bei der Implementierung eines ganzheitlichen Überwachungsplans ebenfalls eine bedeutende Rolle. Zwei bestimmte Überwachungsrichtlinienkategorien (Überwachen des Verzeichnisdienstzugriffs und Überwachen des Objektzugriffs) sind vollständig von SACLs abhängig, um Informationen im Sicherheitsereignisprotokoll zurückzugeben. Worum genau handelt es sich bei SACLs?

Jedes Objekt (Datei, Registrierung oder Verzeichnisdienst) verfügt über eine Zugriffssteuerungsliste (ACL) mit einem oder mehreren Zugriffssteuerungseinträgen (Access Control Entries, ACEs), die in zwei Typen unterteilt ist: eine besitzerverwaltete Zugriffssteuerungsliste (Discretionary Access Control List, DACL) und eine SACL (in der Einstellungen definiert sind, mit denen Zugriffsversuche auf gesicherte Objekte protokolliert werden). Jeder ACE in einer SACL gibt die Arten von Zugriffsversuchen durch einen angegebenen Vertrauensnehmer an, die im Sicherheitsereignisprotokoll protokolliert werden sollten. Durch ACEs wird die Protokollierung von erfolgreichen und/oder fehlgeschlagenen Zugriffsversuchen auf bestimmte Objekte definiert. Abbildung 2 zeigt die Anwendung einer SACL auf ein Objekt zum Generieren von Ereignissen für bestimmte Zugriffsarten.

Abbildung 2 Anwendung einer SACL auf ein Objekt

Abbildung 2** Anwendung einer SACL auf ein Objekt **(Klicken Sie zum Vergrößern auf das Bild)

Es ist äußerst wichtig, die Beziehung zwischen der Überwachungsrichtlinie und SACLs zu verstehen, da eine Konfiguration erforderlich ist, um die „richtigen“ überwachten Ereignisse in Bezug auf Änderungen in der Umgebung festzuhalten. Wie bereits erwähnt, ermöglichen die Überwachungsrichtlinien für die Überwachung des Verzeichnisdienstzugriffs und die Überwachung des Objektzugriffs nur die Generierung von Überwachungen im Sicherheitsereignisprotokoll für diese bestimmten Kategorien, doch Ereignisse werden nur generiert, wenn für ein Objekt ein Überwachungs-ACE in der jeweiligen SACL konfiguriert wurde. Wenn dies erfolgt ist, werden Sicherheitsereignisse von der lokalen Windows-Sicherheitsautorität (Local Security Authority, LSA) generiert und in das Sicherheitsereignisprotokoll geschrieben.

Ereignisse bestehen aus zwei unterschiedlichen Bereichen: dem Header, der statisch und für jeden Ereignisbezeichner (Ereignis-ID) vordefiniert ist, und dem Text, der dynamisch ist und verschiedene Details für verschiedene Ereignisse enthält. Abbildung 3 zeigt diese beiden Elemente in einem Beispiel eines Windows Server 2008-Sicherheitsereignisses. Für die Analysephase eines Überwachungsprojekts ist das Verständnis dieser Ereigniskomponenten sehr wichtig, und besonders interessant dabei ist, wie Informationen in Tools wie ACS zurückgegeben werden.

Abbildung 3 Header und Text eines überwachten Ereignisses

Abbildung 3** Header und Text eines überwachten Ereignisses **(Klicken Sie zum Vergrößern auf das Bild)

Windows Eventing 6.0

In welchen Bereichen hilft Windows Server 2008 Ihrer Organisation jetzt, da Sie das Problem verstehen, sich diesen Herausforderungen zu stellen? Windows Server 2008 ist die erste Serververöffentlichung, die das neue Windows Eventing 6.0-Ereignissubsystem enthält, das den Bereich der Sicherheitsereignisverwaltung erheblich verbessert. Der Schwerpunkt in diesem Artikel liegt zwar auf Windows Server 2008, doch 95 Prozent des neuen Featuresatzes sind in Windows Vista vorhanden.

Besonders auffällig bei Windows Eventing 6.0 ist die neue Benutzeroberfläche. Das neue Event Viewer Microsoft Management Console (MMC)-Snap-In bietet eine hervorragende Übersichts- und Zusammenfassungsseite, flexible benutzerdefinierte Ansichten und stark verbesserten erklärenden Text. Diese Schnittstellen können dem Endbenutzer oder Systemadministrator bei der Suche nach Ereignisinformationen und beim Konfigurieren wichtiger Ereignisprotokolloptionen direkt von der Ereignisanzeige aus helfen.

Ein Hauptproblem, das sich oft auf Sicherheitsdaten innerhalb des Ereignisprotokolls ausgewirkt hat, war das Aufbewahren von Daten. Früher gab es beim Ereignisprotokollsubsystem (einschließlich aller Protokolle) Beschränkungen im Hinblick auf die Skalierbarkeit. Wenn diese Beschränkungen überschritten wurden, stellte das gesamte Subsystem das Protokollieren von Ereignissen ein. Das ist bei Windows Eventing 6.0 jedoch nicht der Fall, und die einzige Einschränkung für Organisationen besteht heute in der Größe des verfügbaren Speicherplatzes. Sie sollten jedoch beachten, dass sehr große Ereignisprotokolle für die Analyse unhandlich sein können, da jeder einzelne Protokolleintrag beim Filtern bewertet werden muss. Aus diesem Grund sollte Ihr Protokoll eine überschaubare Größe haben.

Doch selbstverständlich bleibt es dem IT-Administrator überlassen, einen Archivierungsplan für die Ereignisprotokolle verschiedener Systeme zu entwickeln. Um dabei Unterstützung auf der lokalen Serverebene zu bieten, wird in Windows Eventing 6.0 das Feature „Volles Protokoll archivieren, Ereignisse nicht überschreiben“ verfügbar gemacht. In früheren Versionen von Windows konnte diese Option nur direkt über eine Änderung des AutoBackupLogFiles-Registrierungswerts festgelegt werden. Obwohl hierdurch ein Mechanismus für die lokale Archivierung von Protokollen verfügbar gemacht wird, stellt diese Option auf lange Sicht keine Lösung für das Verwalten dieser Dateien dar, und auch das Aggregationsproblem, das bei mehreren Systemen eintritt, wird nicht angesprochen. Überwachungssammeldienste bieten dafür eine vollständige Lösung, die im Anschluss näher erläutert wird.

Die neue Schnittstelle ist aber erst der Anfang. Die wahre Leistungsfähigkeit von Windows Eventing 6.0 zeigt sich im neuen Windows-Ereignisprotokolldienst und dem zugrunde liegenden Modul auf XML-Basis. Diese Komponenten liefern die erhöhte Skalierbarkeit sowie Eingabehilfen und Verwaltungsoptionen. Ereignisse werden jetzt in einem flexiblen XML-Format gespeichert, das benutzerdefinierte Lösungen ermöglicht, durch die diese Informationen systemintern abgefragt werden können.

Windows Eventing 6.0 bietet auch die Funktion, bestimmten Ereignissen Verwaltungsaktionen zuzuordnen. Dies geschieht durch Integration des Windows-Ereignissammlungsdiensts mit dem Taskplaner, um eine aufgabenbasierte Ereignisprotokollierung zur Verfügung zu stellen. Dies ist ein neues Paradigma für den Taskplaner, der vorher darauf beschränkt war, Ereignisse abhängig von der Uhrzeit auszulösen. Der Assistent „Aufgabe an dieses Ereignis anfügen“ (verfügbar im Kontextmenü jedes Ereignisses in der Windows Server 2008-Ereignisanzeige) bietet eine einfache Möglichkeit, ein Programm zu starten, eine E-Mail-Nachricht zu senden oder eine Nachricht immer dann anzuzeigen, wenn ein bestimmtes Ereignis protokolliert wird. Dies kann bei dem Versuch, bestimmte Aktionen in Ihrer Umgebung zu identifizieren, die mit einem bestimmten Sicherheitsereignis verbunden werden können, sehr nützlich sein. Wenn Sie beispielsweise Änderungen am Registrierungsschlüssel „Schema Update Allowed“ (Schemaaktualisierung zulässig) auf Ihren Domänencontrollern überwachen, können Sie einen Task erstellen, der eine E-Mail-Nachricht an bestimmte Sicherheitsadministratoren sendet, um sie zu benachrichtigen, wenn dieser Registrierungsschlüssel geändert wird.

Neben der neuen Möglichkeit zum Sammeln und Speichern einer großen Anzahl von Ereigniseinträgen können Sie jetzt auch besser steuern, welche Ereignisse im Ereignisprotokoll aufgezeichnet werden. Dies erfolgt mithilfe eines neuen Features mit der Bezeichnung präzise Überwachungsrichtlinie (Granular Audit Policy, GAP). In früheren Versionen von Windows führten die neun breit angelegten Überwachungskategorien oft zur Ereignisüberlastung. Die Kategorien auf oberster Ebene können jetzt über 50 präzise Unterkategorien gesteuert werden, von denen jede eine verwandte Teilmenge von Ereignissen darstellt.

Dies bietet Ihnen die Möglichkeit, weniger wichtige Informationen aus dem Ereignisprotokoll herauszufiltern, ohne dass die Sichtbarkeit auf Kategorienebene verloren geht. Wenn Sie beispielsweise auf einem bestimmten System nur Änderungen an der Registrierung überwachen wollen, nicht aber am Dateisystem, konnten Sie vorher nur auswählen, ob in der Objektzugriffskategorie ein Erfolg oder Fehler gemeldet werden sollte. Mit GAP können Sie jetzt Unterkategorien wie Dateisystem, Zertifizierungsdienste und Dateifreigabe herausfiltern und nur Ereignisse in der Unterkategorie „Registrierung“ melden. Um die GAP-Unterkategorien auf einem Windows Server 2008-System zu untersuchen, müssen Sie den Auditpol-Befehl in einer Eingabeaufforderung mit erweiterter Berechtigung ausführen. Geben Sie Folgendes ein, um die verfügbaren GAP-Unterkategorien aufzulisten:

auditpol /list /subcategory:*

Geben Sie Folgendes ein, um eine Liste von GAP-Unterkategorien abzurufen, die auf Ihrem System konfiguriert sind:

auditpol /get /category:*

Beachten Sie, dass GAP nicht über die standardmäßige Benutzeroberfläche für die Gruppenrichtlinie konfigurierbar ist und über auditpol.exe. verwaltet werden muss. Der Knowledge Base-Artikel unter support.microsoft.com/kb/921469 enthält Anweisungen, wie GAP-Einstellungen über die Gruppenrichtlinie für Windows Server 2008- und Windows Vista-Systeme bereitgestellt werden.

Windows Server 2008 kann sowohl alte als auch neue Werte der bestimmten Typen im Sicherheitsereignisprotokoll erfassen. In früheren Versionen von Windows protokollierte das Überwachungssubsystem nur den Namen des jeweils geänderten Active Directory®-Objektattributs oder -Registrierungswerts. Die vorherigen und aktuellen Werte des Attributs wurden nicht protokolliert. Diese neue Funktion gilt für Active Directory-Domänendienste, Active Directory Lightweight-Verzeichnisdienste und die Windows-Registrierung. Durch Aktivieren von „Überwachungserfolg“ oder „Überwachungsfehler“ auf den Unterkategorien von „Registrierung“ oder „Verzeichnisdienständerungen“ und Einstellen der zugeordneten SACLs werden ausführliche Ereignisse im Ereignisprotokoll für Aktionen auf diesen Objekten gemeldet. Dies kann mit folgenden auditpol-Befehlen durchgeführt werden:

auditpol /set /subcategory:"Registry" /success:enable
auditpol /set /subcategory:"Directory Service     
    Changes" /success:enable

Registrierungsänderungen werden als Ereignisse mit der Ereignis-ID 4657 angezeigt, wie in Abbildung 4 dargestellt.

Abbildung 4 Vor und nach einer Registrierungsänderung

Abbildung 4** Vor und nach einer Registrierungsänderung **(Klicken Sie zum Vergrößern auf das Bild)

Dieses Feature ist besonders nützlich, wenn Änderungen an Active Directory-Objekten nachverfolgt werden sollen. Verzeichnisdienständerungen werden als Paar von Ereignissen mit der Ereignis-ID 5136 aufgeführt, wie in Abbildung 5 dargestellt. Beim jedem Ereignis sind das Verzeichnisdienstobjekt, Attribut und der Vorgang im Text des Ereignisses enthalten. Bei Änderungen an Attributen mit vorhandenen Daten sind zwei Vorgänge zu sehen: Der gelöschte Wert und der hinzugefügte Wert. Bei Attributen, die nicht aufgefüllt wurden, wäre der Vorgang für den hinzugefügten Wert nur ersichtlich, wenn Daten in dieses Attribut geschrieben werden. Wenn beispielsweise ein erfolgreicher Änderungsvorgang auf einem Attribut eines Benutzerobjekts, z. B. telephoneNumber, durchgeführt wird, protokolliert Active Directory die früheren und aktuellen Werte des Attributs in ausführlichen Ereignisprotokolleinträgen.

Abbildung 5 Vor und nach einem Verzeichnisdienständerungsereignis

Abbildung 5** Vor und nach einem Verzeichnisdienständerungsereignis **(Klicken Sie zum Vergrößern auf das Bild)

Beim Erstellen eines neuen Objekts werden Werte der Attribute, die zum Zeitpunkt der Objekterstellung aufgefüllt sind, protokolliert. Beim Verschieben eines Objekts innerhalb einer Domäne wird der frühere und neue Speicherort (in der Form des „Distinguished Name“) protokolliert. Dieses Feature zum Protokollieren von Alt und Neu wird standardmäßig ermöglicht, wenn die entsprechenden Überwachungsrichtlinieneinstellungen vorhanden sind. Wenn ein Attribut geheim gehalten werden soll, etwa die Nummernänderung einer Mitarbeiter-ID, können Sie bestimmte Attribute durch eine einfache Schemaänderung ausschließen. Durch Ändern der searchFlags-Eigenschaft des Attributs im Schema auf 0x100 (Wert 256 -NEVER_AUDIT_VALUE), wie in Abbildung 6 dargestellt, wird das Verzeichnisdienständerungsereignis nicht gemeldet, wenn Änderungen am Attribut eintreten.

Abbildung 6 Ausschließen eines Attributs aus Verzeichnisdienständerungen

Abbildung 6** Ausschließen eines Attributs aus Verzeichnisdienständerungen **(Klicken Sie zum Vergrößern auf das Bild)

Eines der wichtigen neuen Features in Windows Eventing 6.0 sind schließlich die Ereignisabonnements. Wie bereits erwähnt, ist der Zugriff auf das Ereignisprotokoll und seine Überprüfung eine Hauptaufgabe der Systemverwaltung. Die neue Ereignisabonnementfunktion bietet eine Möglichkeit, Ereignisse direkt zwischen Systemen weiterzuleiten. Ereignisabonnements bestehen aus einer Ereignissammlung, bei der Ereignisse gesammelt werden, und aus Ereignisquellen, die so konfiguriert sind, dass Ereignisse an angegebene Hosts weitergeleitet werden. Die Möglichkeit, Ereignisse zu untersuchen, wird vom Windows-Ereignissammlungsdienst (neu in Windows Eventing 6.0) bereitgestellt, und die Abonnentenfunktionalität ist im Windows-Ereignisprotokolldienst integriert. Ein Collector kann so konfiguriert werden, dass Ereignisse aus vielen Ereignisquellen gesammelt werden, bei denen es sich um Windows Server 2008- oder Windows Vista-Systeme handeln kann.

Alle in Ereignisquellen gesammelten Daten befinden sich in einem separaten Ereignisprotokoll namens „Weitergeleitete Ereignisse“ (ForwardedEvents.evtx) und werden vom Ereignisprotokolldienst auf dem Collector verwaltet. Eine Konfiguration beider Endpunkte (Collector und Quelle) ist erforderlich und kann automatisiert werden („winrm quickconfig -q“ in der Quelle und „wecutil qc /q“ im Collector). Es sollte beachtet werden, dass diese Ereignisabonnementfunktion nicht für Unternehmen entwickelt wurde und keine Systeme ersetzen soll, die Ereignisse an eine externe Datenbank liefern.

Ein Beispiel für den Einsatz dieser Funktion ist eine kleine Webfarm. Angenommen Sie verfügen über einen kleinen Satz von Systemen, die einer bestimmten Website (einschließlich Webservern und SQL Servern) zugeordnet sind. Mithilfe der neuen Ereignisabonnementfunktion können die Systeme ihre Sicherheitsereignisprotokollinformationen auf einem einzelnen System konsolidieren. Größere Umgebungen benötigen in der Regel ein erweitertes Toolset für die Ereignisprotokollkonsolidierung.

Überwachungssammeldienste

Angesichts aller neuen Funktionen von Windows Server 2008 besteht die wirkliche Lösung für die langfristige Verwaltung und Archivierung von Sicherheitsereignisprotokollinformationen in einer zentralisierten Datenbank von Überwachungsinformationen. Überwachungssammeldienste sind ein zentrales Feature von System Center Operations Manager 2007. ACS bietet einen Mechanismus für das Weiterleiten, Sammeln, Speichern und die Analyse von Sicherheitsereignisdaten. Sicherheitsereignisse werden annähernd in Echtzeit gesammelt und in einem zentralen SQL-Repository gespeichert. ACS bietet Organisationen zudem eine Methode zum Bereitstellen von Zugriff auf der niedrigsten Berechtigungsebene zum Überwachen von Informationen, da kein physischer Zugriff auf die überwachten Systeme erforderlich ist. Im Folgenden wird näher untersucht, wie ACS funktioniert.

ACS hat drei Hauptkomponenten. Die erste ist die Weiterleitung, die Teil des Operations Manager-Agent ist und Ereignisprotokolldaten vom Client an die ACS-Infrastruktur überträgt. Die Weiterleitung überträgt Daten an die zweite Komponente, den Collector, der auf der Serverseite abhört. ACS-Weiterleitungen stellen eine Verbindung über TCP-Port 51909 her, um mit ihrem zugewiesenen Collector sicher zu kommunizieren. Vor der Übertragung werden die Ereignisprotokolldaten in XML normalisiert, das heißt, überschüssige Informationen werden entfernt und die Ereignisinformationen werden in zugeordneten Feldern auf der Grundlage ereignisspezifischer Header- und Textinformationen zusammengefasst. Wenn die Informationen den Collector erreichen, werden sie an die dritte und letzte Komponente gesendet, die ACS-Datenbank. Diese wird zum Repository für die langfristige Speicherung von Sicherheitsereignisinformationen. Nach dem Speichern können die Informationen direkt mithilfe von SQL-Abfragen abgerufen oder mithilfe von HTML-Berichten über SQL Server® Reporting Services gerendert werden. ACS stellt drei Standardansichten bereit, wie in Abbildung 7 dargestellt.

Figure 7 ACS-Ansichten

ACS-Ansichtenname Zweck
AdtServer.dvHeader Headerinformationen aus gesammelten Ereignissen.
AdtServer.dvAll Header- und alle Textinformationen aus gesammelten Ereignissen.
AdtServer.dvAll 5 Header und die ersten fünf Zeichenfolgen der Textinformationen aus gesammelten Ereignissen.  

Leistungsmäßig kann ein einzelner ACS-Collector einen Spitzenwert von maximal 100.000 Ereignissen pro Sekunde und ein fortlaufendes Maximum von 2.500 Ereignissen pro Sekunde behandeln. Für Planungszwecke kann ein einzelner ACS-Collector bis zu 150 Domänencontroller, 3000 Mitgliedsserver oder 20.000 Arbeitsstationen basierend auf standardmäßigen Überwachungsrichtlinieneinstellungen unterstützen. In einem getesteten, realen Szenario zeigten 150 Domänencontroller ein Maximum von ungefähr 140 Ereignissen pro Sekunde mit einem Spitzenwertdurchschnitt von 500.000 Ereignissen pro Stunde an. In nur 14 Tagen (die ACS-Standardeinstellung für die Aufbewahrung) wurden 150 GB Sicherheitsereignisdaten in der SQL Server-Datenbank gespeichert. Mit einer aggressiveren Überwachungsrichtlinie und der entsprechenden SACL-Konfiguration würden offensichtlich noch mehr Daten (pro Stunde, pro Tag und insgesamt) generiert.

Bei diesem Datenvolumen sollten Sie sich vor Augen führen, dass niemand alle Ereignisse in einer typischen großen Unternehmensumgebung überprüfen könnte. Umgekehrt sollten Organisationen vor den hier aufgeführten Zahlen nicht zurückschrecken. Um die in Ihrer Umgebung eintretenden Änderungen zu verstehen, ist die Analyse großer Datenmengen erforderlich.

Genau hier spielt ASC seine ganze Stärke aus. Mithilfe von SQL Server Reporting Services und ACS können Sie Probleme, die normalerweise innerhalb des Sicherheitsereignisprotokolls verborgen sind, in Informationen verwandeln, die sich so einfach identifizieren lassen wie die farbcodierten Ereignisse im Anwendungsereignisprotokoll. ACS verfügt über einen Satz Standardberichte, die Sie einfach auf die bestimmten Anforderungen Ihrer Umgebung erweitern können.

Ziehen Sie das folgende Szenario in Betracht: Aufgrund der Vertraulichkeit externer Vertrauensstellungen in der Umgebung fordert Ihre Geschäftsleitung die Entwicklung eines Berichts, in dem die Erstellung von Active Directory-Vertrauensstellungen im Einzelnen aufgeführt wird. Nach einigen Untersuchungen wissen Sie, dass ein trustedDomain-Objekt im Container „cn = System“ innerhalb des spezifischen Domänennamenskontexts in Active Directory erstellt wird, wenn eine Vertrauensstellung erstellt wird. Nach dem Bearbeiten der SACL in diesem Container zur Überwachung der erfolgreichen Erstellung beliebiger vertrauenswürdiger Domänenobjekte können Sie bei jeder Erstellung eines Objekts dieses Typs Sicherheitsereignisse aufzeichnen. Dies wird in einem Ereignis mit der Ereignis-ID 566 im Sicherheitsereignisprotokoll auf dem DC gerendert, auf dem die Vertrauensstellung erstellt wurde. Sie können nun eine einfache SQL-Abfrage schreiben, um diese Informationen aus ACS abzurufen:

select * from AdtServer.dvAll 
where EventID = '566' and
String05 like '%trustedDomain%'
order by CreationTime desc

Um diese Informationen in Berichtsform darzustellen, verwenden Sie die Version von Visual Studio® 2005, die in SQL Server 2005 Reporting Services enthalten ist, da dieses Programm speziell zur Berichtentwicklung dient. Nach Abschließen des Assistenten lassen sich Berichte, die dem Beispiel in Abbildung 8 ähneln, leicht erstellen. Zudem können Änderungen in der Umgebung, die sich im Sicherheitsereignisprotokoll darstellen lassen, in einem ähnlich anschaulichen Bericht zusammengefasst werden.

Abbildung 8 Beispiel eines ACS-Berichts

Abbildung 8** Beispiel eines ACS-Berichts **(Klicken Sie zum Vergrößern auf das Bild)

Entwickeln eines Überwachungsplans

Wie können IT-Administratoren jetzt, da die Herausforderungen sowie die gesetzlichen und technischen Aspekte der Überwachung verständlich sind, einen „Überwachungsplan“ für ihre Organisation entwickeln? Wie die meisten Aufgaben ist die Entwicklung einer umfassenden Überwachungsrichtlinie ein aus mehreren Schritten bestehender Prozess. Beim ersten Schritt wird festgelegt, was überwacht werden sollte. Dazu muss Ihre Umgebung analysiert und festgelegt werden, welche Arten von Ereignissen und Änderungen Überwachungen generieren sollen. Dies könnte einfache Elemente wie Kontosperrungen, vertrauliche Gruppenänderungen und Erstellen von Vertrauensstellungen umfassen, oder auch komplexe Änderungen, etwa Änderungen von Konfigurationselementen innerhalb von Anwendungen in Ihrer Umgebung. Wichtig ist, dass die Geschäftsleitung beim Festlegen des „Was“ in einem Überwachungsplan beteiligt wird. Dieser Schritt muss auf Papier durchgeführt werden und sollte in regelmäßigen Abständen und nicht nur nach bedeutenden Vorfällen wiederholt werden.

Beim zweiten Schritt muss identifiziert werden, wie Überwachungsinformationen für bestimmte Änderungen in Form von Sicherheitsereignissen zurückgegeben werden sollen. Überwachungsinformationen sind bisweilen relativ unverständlich und schwer lesbar. Vor der Implementierung müssen Korrelationen zwischen Sicherheitsereignissen und verschiedenen Aktionen hergestellt werden, um zu verstehen, was die Sicherheitsereignisse wirklich bedeuten. Die Zeit nach einem Vorfall ist nicht der richtige Zeitpunkt, um die Beziehungen zwischen Ereignissen und Aktionen zu ergründen.

Der dritte Schritt ist die technische Umsetzung, wenn Sie die Überwachungsrichtlinie und die SACLs implementieren. Wie bereits erörtert, müssen Überwachungsrichtlinieneinstellungen (zum Aktivieren der Generierung von Sicherheitsereignissen) und SACLs (zum Generieren von Überwachungsprotokollen für zugeordnete Aktionen) im Verzeichnis, Dateisystem und in der Registrierung definiert werden, um ein vollständiges Bild der Änderungen in diesen Bereichen zu erhalten.

Damit gelangen Sie zum vierten und letzten Schritt: Sammlung, Auslöser und Analyse. Abhängig von der Größe und den Anforderungen Ihrer Organisation können diese mit den systemeigenen Windows Server 2008-Funktionen oder mit erweiterten Lösungen wie beispielsweise der Überwachungssammeldienst-Funktion von System Center Operations Manager abgedeckt werden. Ein häufiger Fehler in den meisten Organisationen besteht darin, nur eine Überwachungsrichtlinie festzulegen, ohne SACLs zu definieren. Beim letzten Schritt geht es um das Implementieren einer Technologielösung für das Melden und Vermitteln von Daten an die Beteiligten in Ihrer Organisation. Wie bereits erwähnt, gibt es in den meisten Organisationen eine für die Sicherheit verantwortliche Entität, sodass ein Überwachungsplan im Hinblick auf vorhandene Organisationselemente strukturiert sein muss, um wirksam zu sein. Wichtig bei diesem letzten Schritt ist das Sammeln und sinnvolle Darstellen von Informationen für alle Personen, zu deren Aufgaben das Verstehen von Änderungen in der Umgebung gehört.

In den meisten IT-Organisationen muss es erst zu einem bedeutenden Ereignis kommen, bevor sie nicht nur über einen umfassenden Überwachungsplan nachdenken, sondern einen solchen tatsächlich umsetzen. Windows Server 2008 bietet im Vergleich zu früheren Plattformen verbesserte Methoden zum Sammeln und Analysieren von Sicherheitsereignisdaten. Erweiterte Sammlungs- und Berichttechnologien wie ACS enthüllen Probleme, die früher aufgrund des Ereignisumfangs und der Verteilung verborgen waren, und stellen diese Änderungen sofort offensichtlich dar.

Wie bei den meisten IT-Problemen besteht die primäre Herausforderung im Prozess. Zusätzliche Konfiguration und Analyse ist immer erforderlich, um genau das aufzuzeichnen, was Ihre IT-Manager von Ihnen erwarten. Wenn Sie die Anforderungen Ihrer Umgebung und die Funktionen der Windows-Plattform wirklich verstehen, werden Sie kein Problem haben, diese Herausforderung anzunehmen. Viel Erfolg.

Rob Campbell und Joel Yoker Rob Campbell ist Senior Technical Specialist und Joel Yoker ist Senior Consultant im Microsoft Federal Team. Rob Campbell und Joel Yoker befassen sich hauptsächlich mit der Entwicklung und Bereitstellung von Sicherheitslösungen für die Bundesregierung der USA.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.