Bedrohungen und Gegenmaßnahmen

Kapitel 3: Überwachungsrichtlinie

Wenn Benutzer bestimmte zuvor angegebene Aktionen durchführen, wird stets in einem Überwachungsprotokoll ein Eintrag vorgenommen. Bei Änderung einer Datei oder Richtlinie kann z. B. ein Überwachungseintrag ausgelöst werden, in dem die durchgeführte Aktion, das zugehörige Benutzerkonto sowie das Datum und die Uhrzeit der Aktion vermerkt werden. Im Überwachungsprotokoll können sowohl erfolgreich ausgeführte als auch fehlgeschlagenen Aktionen aufgezeichnet werden.

Der Zustand des Betriebssystems und der Anwendungen auf einem Computer ist dynamisch. Sicherheitsstufen können z. B. vorübergehend geändert werden, um die unmittelbare Lösung eines Verwaltungs- oder Netzwerkproblems zu ermöglichen. Häufig wird jedoch anschließend vergessen, solche Änderungen wieder rückgängig zu machen. Wenn die Sicherheitsstufen nicht ordnungsgemäß zurückgesetzt werden, entspricht der Computer u. U. nicht mehr den Anforderungen an die Unternehmenssicherheit.

Durch regelmäßige Sicherheitsanalysen können Administratoren im Rahmen eines Programms zur Risikoverwaltung des Unternehmens die Sicherheitsmaßnahmen verfolgen und feststellen, ob angemessene Sicherheitsmaßnahmen für jeden Computer aktiv sind. Bei solchen Analysen werden schwerpunktmäßig genau festgelegte Informationen zu allen sicherheitsrelevanten Aspekten eines Computers ausgewertet, die von Administratoren zur Anpassung der Sicherheitsstufen verwendet werden können. Vor allem können mit diesen Informationen eventuelle Sicherheitsmängel erkannt werden, die im Laufe der Zeit auf dem Computer auftreten können.

Die Sicherheitsüberwachung ist für jedes Unternehmensnetzwerk von großer Bedeutung, da das Auftreten einer Sicherheitsverletzung u. U. nur anhand von Überwachungsprotokollen erkannt werden kann. Wenn die Sicherheitsverletzung auf andere Weise erkannt wird, bewirken angemessene Überwachungseinstellungen die Erstellung eines Überwachungsprotokolls, das wichtige Informationen zur Sicherheitsverletzung enthält.

Das Protokollieren fehlgeschlagener Ereignisse bietet häufig wertvollere Informationen als das Protokollieren erfolgreich ausgeführter Ereignisse, da fehlgeschlagene Ereignisse normalerweise auf Fehler hinweisen. Wenn sich ein Benutzer z. B. erfolgreich beim System anmeldet, wird dies in der Regel als normaler Vorgang angesehen. Wenn sich jedoch ein Benutzer mehrfach ohne Erfolg beim System anzumelden versucht, kann dies darauf hinweisen, dass sich ein Angreifer mit den Kontoanmeldeinformationen einer anderen Person unerlaubten Zugriff auf den Computer verschaffen möchte. In den Ereignisprotokollen werden die Ereignisse auf dem Computer aufgezeichnet, wobei Microsoft® Windows®-Betriebssysteme über separate Ereignisprotokolle für Anwendungen, Sicherheitsereignisse und Systemereignisse verfügen. Im Sicherheitsprotokoll werden Überwachungsereignisse aufgezeichnet. Der Ereignisprotokoll-Container der Gruppenrichtlinie dient zum Definieren von Attributen für die Anwendungs-, Sicherheits- und Systemereignisprotokolle, z. B. maximale Protokollgröße, Zugriffsrechte für jedes Protokoll sowie Einstellungen für die Dauer und Methode der Aufbewahrung. Dieses Handbuch enthält die Microsoft Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“, in der die Standardeinstellungen dokumentiert sind.

Vor der Implementierung von Überwachungsprozessen muss ein Unternehmen entscheiden, wie die Daten erfasst, strukturiert und analysiert werden sollen. Große Mengen von Überwachungsdaten sind nur von Nutzen, wenn ihre Verwendung zuvor geplant wurde. Außerdem können Überwachungseinstellungen die Computerleistung beeinträchtigen. Während eine bestimmte Kombination von Einstellungen sich u. U. nur geringfügig auf einen Endbenutzercomputer auswirkt, kann dieselbe Kombination erhebliche Auswirkungen auf einen Server mit hoher Auslastung haben. Daher sollten Sie einige Leistungstest durchführen, bevor neue Überwachungseinstellungen in der Produktionsumgebung bereitgestellt werden.

Die Einstellungen für Überwachungsrichtlinien können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien
\Überwachungsrichtlinie

Auf dieser Seite

Überwachungseinstellungen
Überwachungsbeispiel: Ergebnisse eines Benutzeranmeldeereignisses
Weitere Informationen

Überwachungseinstellungen

Sicherheitsanfälligkeiten, Gegenmaßnahmen und mögliche Auswirkungen sind für alle Überwachungseinstellungen identisch. Daher werden diese Begriffe nur einmal beschrieben. Auf jede Beschreibung folgen dann kurze Erläuterungen zu jeder Einstellung.

Für jede Überwachungseinstellung sind folgende Optionen verfügbar:

• Erfolg. Es wird ein Überwachungseintrag erstellt, wenn die angeforderte Aktion erfolgreich ist.

• Fehler. Es wird ein Überwachungseintrag erstellt, wenn die angeforderte Aktion fehlgeschlagen ist.

• Keine Überwachung. Es wird kein Überwachungseintrag für die zugehörige Aktion erstellt.

Sicherheitsanfälligkeit

Wenn keine Überwachungseinstellungen konfiguriert werden, ist es schwierig bzw. unmöglich, die genauen Umstände einer Sicherheitsverletzung zu bestimmen. Wenn die Überwachungseinstellungen jedoch so konfiguriert werden, dass für zu viele autorisierte Aktivitäten Ereignisse produziert werden, sind die Sicherheitsereignisprotokolle schnell mit unnötigen Daten überfüllt. Darüber hinaus kann die gesamte Computerleistung beeinträchtigt werden, wenn Überwachungseinstellungen für eine große Anzahl von Objekten konfiguriert werden.

Gegenmaßnahme

Auf allen Computern in Ihrer Organisation sollten sinnvolle Einstellungen für Überwachungsrichtlinien aktiviert sein, sodass Benutzer gegebenenfalls für ihre Aktionen zur Verantwortung gezogen und nicht autorisierte Aktivitäten erkannt und erfasst werden können.

Mögliche Auswirkung

Wenn auf den Computern in Ihrer Organisation keine oder nur schwache Überwachungseinstellungen konfiguriert werden, ist die Beweislage nach erfolgten Sicherheitsverletzungen für die forensische Analyse des Netzwerks unzureichend. Wenn jedoch zu strenge Überwachungseinstellungen konfiguriert werden, können kritische oder wichtige Einträge im Sicherheitsprotokoll u. U. durch belanglose Einträge verschleiert werden. Darüber hinaus kann die Computerleistung erheblich beeinträchtigt werden. Unternehmen, die den Bestimmungen ihrer jeweiligen Branche unterliegen, sind möglicherweise gesetzlich dazu verpflichtet, bestimmte Ereignisse oder Aktivitäten zu protokollieren.

Anmeldeversuche überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Benutzeranmeldung oder -abmeldung auf einem Computer, der nicht mit dem Computer identisch ist, auf dem das Ereignis aufgezeichnet und das Konto bestätigt wird, überwacht werden soll. Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn die Anmeldung an einem Konto erfolgreich durchgeführt wurde. Diese Informationen sind für die Kontoführung und die juristische Untersuchung nach Sicherheitsverletzungen von Nutzen, da Sie mit diesen erkennen können, wer sich an welchem Computer erfolgreich angemeldet hat. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn die Anmeldung an einem Konto nicht durchgeführt werden konnte. Diese Informationen sind für die Eindringungserkennung nützlich. Allerdings erleichtert diese Richtlinieneinstellung auch DoS-Angriffe (Denial of Service). Wenn die Einstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können aktiviert ist, können Angreifer Millionen fehlgeschlagener Anmeldungen erzeugen, das Sicherheitsereignisprotokoll überfüllen und das Herunterfahren des Computers erzwingen.

Wenn die Einstellung Anmeldeversuche überwachen als Erfolgsüberwachung auf einem Domänencontroller konfiguriert ist, wird zu jedem für diesen Domänencontroller überprüften Benutzer ein Protokolleintrag erstellt, auch wenn sich der Benutzer tatsächlich an einer Arbeitsstation oder einem Server dieser Domäne anmeldet.

Kontenverwaltung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jedes Kontenverwaltungsereignis auf einem Computer überwacht werden soll. Folgende Ereignisse sind beispielsweise als Kontenverwaltungsereignisse definiert:

• Erstellen, Ändern oder Löschen eines Benutzerkontos oder einer Gruppe

• Umbenennen, Deaktivieren oder Aktivieren eines Benutzerkontos

• Festlegen oder Ändern eines Kennworts

Wenn Sie die Einstellung Kontenverwaltung überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Kontenverwaltungsereignis erfolgreich durchgeführt wurde. Sie sollte auf allen Computern in Ihrem Unternehmen aktiviert sein. Wenn eine Organisation auf Sicherheitsverletzungen reagiert, ist es von entscheidender Bedeutung, dass verfolgt werden kann, wer ein Konto erstellt, geändert oder gelöscht hat. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Kontenverwaltungsereignis fehlschlägt.

Active Directory-Zugriff überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob der Benutzerzugriff auf ein Aktive Directory®-Verzeichnisdienstobjekt überwacht werden soll, das über eine zugehörige Systemzugriffssteuerungsliste (SACL, System Access Control List) verfügt. In einer SACL sind die Benutzer und Gruppen aufgelistet, deren Aktionen für ein Objekt in einem Microsoft Windows-basierten Netzwerk überwacht werden sollen.

Wenn Sie die Einstellung Active Directory-Zugriff überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Benutzer erfolgreich auf ein Active Directory-Objekt mit einer SACL zugreift, aus der hervorgeht, dass der Benutzer für die angeforderte Aktion überwacht werden muss. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn der Zugriff eines Benutzers auf ein Active Directory-Objekt mit einer SACL fehlschlägt, für die eine Überwachung erforderlich ist. (Beide Überwachungseintragstypen werden erstellt, bevor der Benutzer benachrichtigt wird, dass die Anforderung erfolgreich durchgeführt wurde oder fehlgeschlagen ist.) Wenn Sie diese Richtlinieneinstellung aktivieren und SACLs für Verzeichnisobjekte konfigurieren, kann in den Sicherheitsprotokollen auf Domänencontrollern eine große Menge von Einträgen erzeugt werden. Sie sollten diese Einstellungen nur aktivieren, wenn Sie tatsächlich beabsichtigen, die erstellten Informationen zu verwenden.

Hinweis: Sie können eine SACL für ein Active Directory-Objekt im Dialogfeld Eigenschaften dieses Objekts auf der Registerkarte Sicherheit festlegen. Diese Methode entspricht der Einstellung Objektzugriffsversuche überwachen, gilt allerdings nur für Active Directory-Objekte und nicht für Objekte des Dateisystems oder der Registrierung.

Anmeldeereignisse überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Benutzeranmeldung bzw. -abmeldung oder Netzwerkverbindung auf dem Computer, auf dem das Überwachungsereignis aufgezeichnet wird, überwacht werden soll. Wenn Sie auf einem Domänencontroller Überwachungsereignisse für erfolgreiche Kontoanmeldungen protokollieren, werden durch Anmeldeversuche an einer Arbeitsstation keine Anmeldeüberwachungsereignisse erzeugt. Anmeldeereignisse auf dem Domänencontroller werden nur durch Versuche der interaktiven Anmeldung und Netzwerkanmeldung am Domänencontroller selbst erzeugt. Kurz gesagt, Kontoanmeldeereignisse werden dort erzeugt, wo sich das Konto befindet, und Anmeldeereignisse werden dort erzeugt, wo der Anmeldeversuch erfolgt.

Wenn Sie die Einstellung Anmeldeereignisse überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn die Anmeldung erfolgreich durchgeführt wurde. Diese Informationen sind für die Kontoführung und die forensische Analyse nach Sicherheitsverletzungen von Nutzen, da Sie mit diesen erkennen können, wer sich an welchem Computer erfolgreich angemeldet hat. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn die Anmeldung nicht durchgeführt werden konnte. Diese Informationen sind für die Eindringungserkennung nützlich. Allerdings erleichtert diese Konfiguration auch DoS-Angriffe, da Angreifer Millionen fehlgeschlagener Anmeldungen erzeugen, das Sicherheitsereignisprotokoll überfüllen und das Herunterfahren des Systems erzwingen können.

Objektzugriffsversuche überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzerzugriffe auf ein Objekt (z. B. Datei, Ordner, Registrierungsschlüssel oder Drucker) mit einer SACL überwacht werden sollen, in der eine Überwachungsanforderung definiert wird.

Wenn Sie die Einstellung Objektzugriffsversuche überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Benutzer erfolgreich auf ein Objekt mit einer SACL zugreift. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn der Zugriff eines Benutzers auf ein Objekt mit einer SACL fehlschlägt. (Im Rahmen von normalen Computervorgängen sind einige Fehlerereignisse zu erwarten.) Einige Anwendungen (z. B. Microsoft Word) versuchen stets, Dateien sowohl mit Lese- als auch Schreibrechten zu öffnen. Wenn dies nicht möglich ist, wird versucht, die Dateien schreibgeschützt zu öffnen. Bei Aktivierung der Fehlerüberwachung und der entsprechenden SACL für die Datei wird ein Fehlerereignis aufgezeichnet, sobald ein solches Ereignis auftritt.

Unter Microsoft Windows Server™ 2003 mit Service Pack 1 (SP1) können Sie den Zugriff auf Objekte überwachen, die in der IIS-Metabasis (Internet Information Server) gespeichert sind. Um die Metabasisobjekt-Überwachung zu aktivieren, müssen Sie die Einstellung Objektzugriffsversuche überwachen auf dem Zielcomputer aktivieren und dann SACLs für die einzelnen Metabasisobjekte festlegen, deren Zugriff überwacht werden soll.

Wenn Sie die Richtlinieneinstellung Objektzugriffsversuche überwachen aktivieren und SACLs für Objekte konfigurieren, kann in den Sicherheitsprotokollen auf den Computern in Ihrer Organisation eine große Menge von Einträgen erzeugt werden. Daher sollten Sie diese Einstellungen nur aktivieren, wenn Sie tatsächlich beabsichtigen, die erfassten Informationen zu verwenden.

Hinweis: Die Aktivierung der Funktion zur Überwachung eines Objekts (z. B. Datei, Ordner, Drucker oder Registrierungsschlüssel) unter Windows Server 2003 muss in zwei Schritten erfolgen. Nach Aktivierung der Richtlinie „Objektzugriffsversuche überwachen“ müssen Sie die Objekte festlegen, deren Zugriff überwacht werden soll, und dann die jeweiligen SACLs entsprechend ändern. Wenn z. B. alle Benutzerversuche zum Öffnen einer bestimmten Datei überwacht werden sollen, können Sie für die Datei, die Sie in Bezug auf dieses Ereignis überwachen möchten, mit Windows Explorer oder Gruppenrichtlinien das Attribut für eine Erfolgs- bzw. eine Fehlerüberwachung direkt konfigurieren.

Richtlinienänderungen überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Änderung in Bezug auf Richtlinien für die Zuweisung von Benutzerrechten, Windows-Firewall-Richtlinien, Überwachungsrichtlinien oder Vertrauensrichtlinien überwacht werden soll.

Wenn Sie die Einstellung Richtlinienänderungen überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn eine Änderung in Bezug auf Richtlinien für die Zuweisung von Benutzerrechten, Überwachungsrichtlinien oder Vertrauensrichtlinien erfolgreich vorgenommen wird. Diese Überwachungsinformationen sind für die Kontoführung nützlich und erleichtern die Ermittlung des Benutzers, der die Richtlinien in der Domäne oder auf einzelnen Computern geändert hat. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn eine Änderung in Bezug auf Richtlinien für die Zuweisung von Benutzerrechten, Überwachungsrichtlinien oder Vertrauensrichtlinien fehlgeschlagen ist.

Wenn Sie die Einstellung Richtlinienänderungen überwachen unter Windows XP mit SP2 und Windows Server 2003 mit SP1 aktivieren, wird auch die Protokollierung von Konfigurationsänderungen für die Windows-Firewallkomponente aktiviert.

Rechteverwendung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob jede Ausübung eines Benutzerrechts durch Benutzer überwacht werden soll.

Wenn Sie die Einstellung Rechteverwendung überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Benutzerrecht erfolgreich verwendet wurde. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn die Verwendung eines Benutzerrechts fehlgeschlagen ist. Wenn Sie diese Richtlinieneinstellung aktivieren, kann eine große Menge von Ereignissen erzeugt werden, die schwierig zu durchsuchen ist. Aktivieren Sie diese Einstellung nur, wenn Sie wissen, wie Sie die erzeugten Informationen verwenden möchten.

Überwachungsereignisse werden bei Verwendung der folgenden Benutzerrechte nicht erzeugt, selbst wenn für diese Richtlinieneinstellung eine Erfolgs- bzw. eine Fehlerüberwachung festgelegt ist:

• Auslassen der durchsuchenden Prüfung

• Debuggen von Programmen

• Erstellen eines Tokenobjekts

• Ersetzen eines Prozessebenentokens

• Generieren von Sicherheitsüberwachungen

• Sichern von Dateien und Verzeichnissen

• Wiederherstellen von Dateien und Verzeichnissen

Prozessverfolgung überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob detaillierte Überwachungsinformationen für Ereignisse wie Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff erfasst werden.

Wenn Sie die Einstellung Prozessverfolgung überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn der verfolgte Prozess erfolgreich durchgeführt wurde. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn der verfolgte Prozess fehlgeschlagen ist.

Wenn Sie die Einstellung Prozessverfolgung überwachen unter Windows XP mit SP2 und Windows Server 2003 mit SP1 aktivieren, werden im Windows-Betriebssystem auch Informationen zum Betriebsmodus und zum Status der Windows-Firewallkomponente erfasst.

Bei Aktivierung der Einstellung Prozessverfolgung überwachen wird eine große Anzahl von Ereignissen erzeugt. Diese Richtlinieneinstellung ist normalerweise als Keine Überwachung konfiguriert. Die von dieser Richtlinieneinstellung erzeugten Informationen können jedoch aufgrund des detaillierten Protokolls zu den gestarteten Prozessen und zugehörigen Startzeiten von großem Vorteil sein, wenn auf Zwischenfälle reagiert werden muss.

Systemereignisse überwachen

Durch diese Richtlinieneinstellung wird festgelegt, ob der Neustart und das Herunterfahren eines Computers sowie das Auftreten eines Ereignisses, das sich auf die Computersicherheit oder das Sicherheitsprotokoll auswirkt, überwacht werden sollen.

Wenn Sie die Einstellung Systemereignisse überwachen konfigurieren, können Sie festlegen, ob erfolgreiche Ereignisse oder Fehler überwacht werden oder ob keine Überwachung des Ereignistyps erfolgen soll. Bei der Erfolgsüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Ereignis erfolgreich ausgeführt wird. Bei der Fehlerüberwachung wird ein Überwachungseintrag erzeugt, wenn ein Ereignis fehlgeschlagen ist. Da bei Aktivierung der Fehler- und Erfolgsüberwachung für Systemereignisse eine geringe Menge von zusätzlichen Ereignissen aufgezeichnet wird und alle diese Ereignisse von großer Bedeutung sind, sollten Sie diese Richtlinieneinstellung auf allen Computern in Ihrer Organisation auf Aktiviert setzen.

Überwachungsbeispiel: Ergebnisse eines Benutzeranmeldeereignisses

Nachdem Sie nun die unterschiedlichen Überwachungseinstellungen kennen gelernt haben, die unter Windows verfügbar sind, bietet es sich an, ein konkretes Beispiel zu betrachten. Überwachungen werden für einzelne Computer und nicht unter der ganzheitlicheren Perspektive ausgeführt, die von Unternehmensadministratoren u. U. bevorzugt wird. Da Ereignisse auf einzelnen Computern aufgezeichnet werden, müssen Sie möglicherweise die Sicherheitsprotokolle von mehreren Computern überprüfen und die Daten zueinander in Beziehung setzen, um festzustellen, welche Ereignisse aufgetreten sind.

In den restlichen Abschnitten dieses Kapitels werden die wichtigsten Ereignisse dargestellt, die in die Ereignisprotokolle für Domänencontroller, Dateiserver und Endbenutzercomputer geschrieben werden, wenn sich autorisierte Benutzer am eigenen Computer anmelden und auf eine Datei in einem freigegebenen Ordner zugreifen, der vom Dateiserver gehostet wird. Es werden nur die wichtigsten Ereignisse dokumentiert. Andere durch diese Aktivitäten erzeugte Ereignisse werden aus Gründen der Übersichtlichkeit ausgelassen. Die Namen der Konten und Ressourcen in diesem Beispiel lauten wie folgt:

• Domäne = DOM

• Domänencontroller = DC1

• Dateiserver = DS1

• Computer des Endbenutzers = XP1

• Benutzer = John

• Freigegebener Ordner auf DS1 = Freigabe

• Dokument im freigegebenen Ordner = Dokument.txt

Der Benutzer meldet sich am Computer an.

• Auf dem Computer des Endbenutzers aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 528, Benutzeranmeldung/-abmeldung für Benutzer DOM\John auf Computer XP1.

• Auf dem Domänencontroller aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 540, Benutzeranmeldung/-abmeldung für Benutzer DOM\John auf Computer DC1.

• Auf dem Dateiserver aufgezeichnete Ereignisse

  • Nicht anwendbar.

Der Benutzer stellt eine Verbindung mit dem freigegebenen Ordner Freigabe her.

• Auf dem Computer des Endbenutzers aufgezeichnete Ereignisse

  • Nicht anwendbar.

• Auf dem Domänencontroller aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 673, Kontoanmeldung für Benutzer John@DOM.com und den Dienstnamen DS1$.

  • Erfolgsüberwachung für Ereignis-ID 673, Kontoanmeldung für Benutzer DS$@DOM.com und den Dienstnamen DS1$.

  • Erfolgsüberwachung für Ereignis-ID 673, Kontoanmeldung für Benutzer XP1$@DOM.com und den Dienstnamen DS1$.

    Hinweis: Alle aufgezeichneten Ereignisse sind Kerberos-Authentifizierungsprotokoll-Dienstticketanforderungen.

• Auf dem Dateiserver aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 540, Benutzeranmeldung/-abmeldung für Benutzer DOM\John auf Computer DS1.

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe mit den Zugriffstypen LESEZUGRIFF, Daten lesen (oder Verzeichnis auflisten), EA lesen und Attribute lesen.

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe\Dokument.txt mit den Zugriffstypen LESEZUGRIFF, Daten lesen (oder Verzeichnis auflisten), EA lesen und Attribute lesen.

Der Benutzer öffnet die Datei Dokument.txt.

• Auf dem Computer des Endbenutzers aufgezeichnete Ereignisse

  • Nicht anwendbar.

• Auf dem Domänencontroller aufgezeichnete Ereignisse

  • Nicht anwendbar.

• Auf dem Dateiserver aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe\Dokument.txt mit den Zugriffstypen LESEZUGRIFF, Daten lesen (oder Verzeichnis auflisten), Daten schreiben (oder Datei hinzufügen), Daten anhängen (oder Unterverzeichnis hinzufügen oder Pipeinstanz erstellen), EA lesen, EA schreiben, Attribute lesen und Attribute schreiben.

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe\Dokument.txt mit dem Zugriffstyp Attribute lesen.

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe mit dem Zugriffstyp Attribute lesen.

Der Benutzer speichert die Datei Dokument.txt.

• Auf dem Computer des Endbenutzers aufgezeichnete Ereignisse

  • Nicht anwendbar.

• Auf dem Domänencontroller aufgezeichnete Ereignisse

  • Nicht anwendbar.

• Auf dem Dateiserver aufgezeichnete Ereignisse

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe\Dokument.txt mit den Zugriffstypen SYNCHRONISIEREN, Daten lesen (oder Verzeichnis auflisten), Daten schreiben (oder Datei hinzufügen), Daten anhängen (oder Unterverzeichnis hinzufügen oder Pipeinstanz erstellen), EA lesen, EA schreiben, Attribute lesen und Attribute schreiben.

  • Erfolgsüberwachung für Ereignis-ID 560, Objektzugriff für Benutzer DOM\John auf das Objekt C:\Freigabe\Dokument.txt mit den Zugriffstypen LESEZUGRIFF, SYNCHRONISIEREN und Daten lesen (oder Verzeichnis auflisten).

Obwohl dieses Beispiel eine komplexe Abfolge von Ereignissen darzustellen scheint, wurde es erheblich vereinfacht. Durch die aufgeführten Aktionen werden auf dem Domänencontroller und dem Dateiserver eigentlich Dutzende von Anmeldungs-, Abmeldungs- und Rechteverwendungsereignissen erzeugt. Darüber hinaus werden beim Öffnen der Datei durch den Benutzer Dutzende von Objektzugriffsereignissen und bei jedem Speichern der Datei zahlreiche weitere Ereignisse erzeugt. In diesem Beispiel wird gezeigt, dass die Verwendung der durch die Überwachung erzeugten Daten ohne die Unterstützung von automatisierten Tools (z. B. Microsoft Operations Manager) schwierig sein kann.

Weitere Informationen

Die folgenden Links bieten weitere Informationen zu Themen, die sich auf Überwachungsrichtlinien für Computer beziehen, auf denen Windows XP mit SP2 oder Windows Server 2003 mit SP1 ausgeführt wird:

• Weitere Informationen zu Überwachungsrichtlinien finden Sie im Abschnitt „Überwachungsrichtlinie“ in der TechCenter-Dokumentation zu Windows Server 2003 auf der Microsoft TechNet-Website unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx.

• Im Artikel „Verwenden von Gruppenrichtlinien zum Überwachen von Registrierungsschlüsseln unter Windows Server 2003“ (in englischer Sprache) unter https://support.microsoft.com/kb/324739/en-us wird beschrieben, wie der Zugriff auf Registrierungsschlüssel durch Hinzufügen von SACLs zu diesen Schlüsseln überwacht werden kann.

• In den Artikeln „Windows 2000-Sicherheitsereignisse (Teil 1 von 2)“ unter https://support.microsoft.com/kb/299475/ und „Windows 2000-Sicherheitsereignisse (Teil 2 von 2)“ unter https://support.microsoft.com/kb/301677/ werden die von Windows 2000 Server protokollierten Sicherheitsereignisse beschrieben. Sie gelten auch für Windows Server 2003 und Windows XP.

In diesem Beitrag

• Überblick
• Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP
• Kapitel 2: Richtlinien auf Domänenebene
• Kapitel 3: Überwachungsrichtlinie
• Kapitel 4: Benutzerrechte
• Kapitel 5: Sicherheitsoptionen
• Kapitel 6: Ereignisprotokoll
• Kapitel 7: Systemdienste
• Kapitel 8: Richtlinien für Softwareeinschränkungen
• Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003
• Kapitel 10: Zusätzliche Registrierungseinträge
• Kapitel 11: Zusätzliche Gegenmaßnahmen
• Kapitel 12: Zusammenfassung
• Danksagungen

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

4 von 14