Planen und Bereitstellen erweiterter Sicherheitsüberwachungsrichtlinien
In diesem Thema, das sich an IT-Experten richtet, werden die durch Sicherheitsrichtlinienplaner in Erwägung zu ziehenden Möglichkeiten und die Aufgaben erläutert, die sie abschließen müssen, um eine wirksame Sicherheitsüberwachungsrichtlinie in einem Netzwerk bereitzustellen, das erweiterte Sicherheitsüberwachungsrichtlinien umfasst.
Organisationen investieren einen Großteil ihres IT-Budgets in Sicherheitsanwendungen und -dienste, beispielsweise in Antischadsoftware, Firewalls und in die Verschlüsselung. So viel Sicherheitshardware oder -software Sie auch bereitstellen, wie engmaschig Sie die Rechte der Benutzer steuern oder wie sorgfältig Sie die Sicherheitsberechtigungen für Ihre Daten konfigurieren, sollten Sie den Auftrag nicht als abgeschlossen erachten, sofern Sie nicht über eine angemessen definierte, zeitgemäße Überwachungsstrategie verfügen, um die Wirksamkeit Ihrer Abwehr nachzuverfolgen und die Überlistungsversuche zu ermitteln.
Damit eine Überwachungsstrategie angemessen definiert und zeitgemäß ist, muss sie für die wichtigsten Ressourcen, kritischen Verhaltensweisen und potenziellen Risiken einer Organisation nützliche Nachverfolgungsdaten erbringen. In einer wachsenden Anzahl an Organisationen muss sie zudem den absoluten Nachweis erbringen, dass die IT-Vorgänge mit den Unternehmens- und behördlichen Anforderungen konform sind.
Leider verfügt nicht jede Organisation über unbegrenzte Ressourcen für das Überwachen sämtlicher Ressourcen und Aktivitäten in einem Netzwerk. Wenn Sie keine angemessene Planung vornehmen, sind Lücken in Ihrer Überwachungsstrategie wahrscheinlich. Wenn Sie jedoch versuchen, sämtliche Ressourcen und Aktivitäten zu überwachen, hat dies möglicherweise zu viele Überwachungsdaten zur Folge, einschließlich Tausender harmloser Überwachungseinträge, die von einem Analysten durchkämmt werden müssen, um den Kreis auf die Einträge einzuengen, die näher geprüft werden müssen. Dies könnte zu Verzögerungen führen oder Prüfer sogar daran hindern, verdächtige Aktivitäten zu ermitteln. Daher ist eine Organisation wenn sie zu viel überwacht gleichermaßen anfällig wie eine Organisation, die zu wenig überwacht.
Im Folgenden finden Sie einige Features, die Ihnen dabei helfen, sich auf das Wesentliche zu konzentrieren:
Erweiterte Überwachungsrichtlinieneinstellungen. Sie können mithilfe von „Gruppenrichtlinie“ detaillierte Überwachungsrichtlinieneinstellungen anwenden und verwalten.
Überwachung „nach dem Grund des Zugriffs“. Sie können die Berechtigungen angeben und bestimmen, die verwendet wurden, um ein bestimmtes Objekt-Zugriffssicherheitsereignis zu erstellen.
Globale Objektzugriffsüberwachung. Sie können System-Zugriffssteuerungslisten (SACLs) für ein gesamtes Computerdateisystem oder eine Registrierung definieren.
Zum Bereitstellen dieser Features und Planen einer wirksamen Sicherheitsüberwachungsstrategie ist Folgendes erforderlich:
Ermitteln Ihrer kritischsten Ressourcen und wichtigsten Aktivitäten, die nachverfolgt werden müssen.
Ermitteln Ihrer Überwachungseinstellungen, die verwendet werden können, um diese Aktivitäten nachzuverfolgen.
Bewerten der Vorteile und der damit zusammenhängenden Kosten.
Testen dieser Einstellungen zum Überprüfen Ihrer Auswahlen.
Entwickeln von Plänen für das Bereitstellen und Verwalten Ihrer Überwachungsrichtlinie.
Zu dieser Anleitung
In diesem Dokument werden die zum Planen einer Sicherheitsüberwachungsrichtlinie, die Windows-Überwachungsfeatures verwendet, erforderlichen Schritte erläutert. Diese Richtlinie muss die entscheidenden Geschäftsanforderungen ermitteln und darauf abzielen, dies umfasst Folgendes:
Zuverlässigkeit des Netzwerks
Rechtsvorschriften
Schutz der Daten und des geistigen Eigentums der Organisation
Benutzer, dazu zählen Mitarbeiter, Auftragnehmer, Partner und Kunden
Clientcomputer und -anwendungen
Server und die darauf aufgeführten Anwendungen und Dienste
Die Überwachungsrichtlinie muss zudem die Prozesse für das Verwalten der Überwachungsdaten ermitteln, nachdem sie protokolliert wurden, dies umfasst Folgendes:
Sammeln, Auswerten und Überprüfen der Überwachungsdaten
Speichern und (ggf.) Löschen von Überwachungsdaten
Durch das sorgfältige Planen, Entwerfen, Testen und Bereitstellen einer Lösung auf Grundlage der Geschäftsanforderungen Ihrer Organisation können Sie die für Ihre Organisation erforderliche standardisierte Funktions-, Sicherheits- und Verwaltungssteuerung bereitstellen.
Grundlegendes zum Sicherheitsüberwachungsrichtlinien-Entwurfsprozess
Zum Entwurfs- und Bereitstellungsprozess einer Windows-Sicherheitsüberwachungsrichtlinie zählen die folgenden Aufgaben, die im Laufe dieses Dokuments ausführlicher beschrieben werden:
Ermitteln der Bereitstellungsziele Ihrer Windows-Sicherheitsüberwachungsrichtlinie
Dieser Abschnitt hilft Ihnen beim Definieren der Geschäftsziele, an denen sich Ihre Windows-Sicherheitsüberwachungsrichtlinie orientiert. Er hilft Ihnen zudem beim Definieren der Ressourcen, Benutzer und Computer, die im Fokus der Sicherheitsüberwachung stehen.
Zuordnen der Sicherheitsüberwachungsrichtlinie zu Benutzergruppen, Computern und Ressourcen in Ihrer Organisation
In diesem Abschnitt wird erläutert, wie Sicherheitsüberwachungsrichtlinien-Einstellungen in Domänen-Gruppenrichtlinieneinstellungen für unterschiedliche Benutzergruppen, Computer und Ressourcen integriert werden. Darin wird darüber hinaus erläutert, wann die grundlegenden Überwachungsrichtlinieneinstellungen und wann die erweiterten Sicherheitsüberwachungsrichtlinien-Einstellungen verwendet werden, was für Sie interessant ist, wenn Ihr Netzwerk mehrere Versionen von Windows-Client- und -Serverbetriebssystemen aufweist.
Zuordnen Ihrer Sicherheitsüberwachungsziele zu einer Sicherheitsüberwachungsrichtlinien-Konfiguration
In diesem Abschnitt werden die Kategorien der verfügbaren Windows-Sicherheitsüberwachungseinstellungen erläutert. Darin werden zudem einzelne Windows-Sicherheitsüberwachungsrichtlinien-Einstellungen bestimmt, die für bestimmte Überwachungsszenarien von besonderem Wert sein können.
Planen der Sicherheitsüberwachung und -verwaltung
In diesem Abschnitt erhalten Sie Informationen über das Sammeln, Analysieren und Speichern von Windows-Überwachungsdaten. In Abhängigkeit der Computeranzahl und Aktivitätstypen, die Sie überwachen möchten, können Windows-Ereignisprotokolle schnell anwachsen. In diesem Abschnitt wird zudem erklärt. wie Überprüfer auf Ereignisdaten von mehreren Servern und Desktopcomputern zugreifen und diese aggregieren können. Darin wird zudem erklärt, wie Speicheranforderungen erfüllt werden können, einschließlich der Menge der zu speichernden Überwachungsdaten und wie diese gespeichert werden.
Bereitstellen der Sicherheitsüberwachungsrichtlinie
In diesem Abschnitt sind Empfehlungen und Richtlinien für die wirksame Bereitstellung einer Windows-Sicherheitsüberwachungsrichtlinie enthalten. Das Konfigurieren und Bereitstellen von Windows-Überwachungsrichtlinieneinstellungen in einer Test Lab-Umgebung kann Ihnen dabei helfen, sicherzustellen, dass die von Ihnen ausgewählten Einstellungen den von Ihnen benötigten Überwachungsdatentyp hervorbringen. Sie können jedoch nur anhand einer sorgfältig vorgenommenen gestaffelten Pilotbereitstellung und anhand von inkrementellen Bereitstellungen auf Grundlege der Struktur Ihrer Domäne und OU bestätigen, dass die von Ihnen generierten Überwachungsdaten überwacht werden können und die Überwachungsanforderungen Ihrer Organisation erfüllen.
Ermitteln der Bereitstellungsziele Ihrer Windows-Sicherheitsüberwachungsrichtlinie
Eine Sicherheitsüberwachungsrichtlinie muss den Gesamtsicherheitsentwurf bzw. das Gerüst einer Organisation unterstützen sowie ein kritischer und integrierter Aspekt davon sein.
Jede Organisation verfügt über einen eindeutigen Satz an Daten und Netzwerkressourcen (wie Kunden- und Finanzdaten sowie Geschäftsgeheimnisse), physischen Ressourcen (wie Desktopcomputer, tragbare Computer und Server) und Benutzern (wie verschiedene interne Gruppen, beispielsweise die Finanz- und Marketingabteilung, und externe Gruppen, beispielsweise Partner, Kunden und anonyme Benutzer auf der Website). Nicht alle diese Anlagen, Ressourcen und Benutzer rechtfertigen die Kosten einer Überwachung. Ihre Aufgabe besteht darin, zu ermitteln welche Anlagen, Ressourcen und Benutzer für eine Sicherheitsüberwachung am ehesten in Frage kommen.
Ermitteln Sie für das Erstellen Ihres Windows-Sicherheitsüberwachungsplans zunächst Folgendes:
Die Gesamtnetzwerkumgebung, einschließlich der Domänen, OUs und Sicherheitsgruppen.
Die Netzwerkressourcen sowie die Benutzer und die Verwendungsweise dieser Ressourcen.
Rechtsvorschriften.
Netzwerkumgebung
Die Domänen- und OU-Struktur einer Organisation bietet einen grundlegenden Ausgangspunkt, um darüber nachzudenken, wie eine Sicherheitsüberwachungsrichtlinie angewendet wird, da sie wahrscheinlich eine Grundlage der GPOs und logischen Gruppierung der Ressourcen und Aktivitäten bereitstellt, die Sie verwenden können, um die von Ihnen ausgewählten Überwachungseinstellungen anzuwenden. Es ist ebenso wahrscheinlich, dass bestimmte Teile Ihrer Domänen- und OU-Struktur bereits logische Gruppen an Benutzern, Ressourcen und Aktivitäten bereitstellen, die die für deren Überwachung aufgewendete Zeit und Ressourcen rechtfertigen. Informationen über das Integrieren einer Sicherheitsüberwachungsrichtlinie in Ihrer Domänen- und OU-Struktur finden Sie weiter unten in diesem Dokument unter Zuordnen der Sicherheitsüberwachungsrichtlinie zu Benutzergruppen, Computern und Ressourcen in Ihrer Organisation.
Zusätzlich zu Ihrem Domänenmodell sollten Sie herausfinden, ob Ihre Organisation ein systematisches Gefahrenmodell erstellt und verwaltet. Mit einem guten Gefahrenmodell können Sie Bedrohungen an die Hauptkomponenten in Ihrer Infrastruktur ermitteln. Auf diese Weise können Sie die Überwachungseinstellungen definieren und anwenden, durch die die Organisation ihre Fähigkeit verbessern kann, diese Bedrohungen zu ermitteln und diesen etwas entgegenzusetzen.
Wichtig
Das Einbeziehen der Überwachung in den Sicherheitsplan Ihrer Organisation ermöglicht zudem das Budgetieren der Ressourcen für Bereiche, in denen die Überwachung die besten Ergebnisse erzielen kann.
Laden Sie den IT Infrastructure Threat Modeling Guide (Leitfaden zum IT-Infrastruktur-Gefahrenmodell) herunter, um weitere Informationen über das Abschließen der einzelnen Schritte und über das Vorbereiten eines ausführlichen Gefahrenmodells zu erhalten.
Daten und Ressourcen
Für das Überwachen von Daten und Ressourcen müssen Sie die wichtigsten Daten- und Ressourcentypen (wie Patientendatensätze, Buchhaltungsdaten oder Marketingpläne) ermitteln, die von der engmaschigeren Überwachung profitieren können, die die Windows-Überwachung bereitstellen kann. Einige dieser Datenressourcen werden möglicherweise bereits durch die Überwachungsfeatures in Produkten wie Microsoft SQL Server und Exchange Server überwacht. Wenn dies der Fall ist, sollten Sie möglicherweise in Erwägung ziehen, inwiefern die Windows-Überwachungsfeatures Ihre vorhandene Überwachungsstrategie verbessern können. Wie bei der zuvor erläuterten Domänen- und OU-Struktur sollte sich die Sicherheitsüberwachung auf die kritischsten Ressourcen konzentrieren. Sie müssen zudem berücksichtigen, welche Menge an Überwachungsdaten Sie verwalten können.
Sie können aufzeichnen, ob diese Ressourcen eine hohe, eine mittlere oder eine geringe Geschäftsauswirkung aufweisen. Zudem können Sie aufzeichnen, welche Kosten dadurch für die Organisation entstehen, falls nicht autorisierte Benutzer auf diese Datenressourcen zugreifen, und welches Risiko dieser Zugriff für die Organisation bedeutet. Der Zugriffstyp durch Benutzer (wie Lesen, Ändern oder Kopieren) kann für eine Organisation zudem unterschiedliche Risikostufen bedeuten.
Der Datenzugriff und deren Verwendung werden zunehmend durch Regulierungen abgedeckt. Eine Verletzung kann für eine Organisation schwerwiegende Strafen und einen Glaubwürdigkeitsverlust zur Folge haben. Wenn die Einhaltung gesetzlicher Bestimmungen beim Verwalten Ihrer Daten eine Rolle spielt, sollten Sie auch diese Informationen dokumentieren.
In der folgenden Tabelle finden Sie ein Ressourcenanalysebeispiel für eine Organisation.
| Ressourcenklasse | Speicherort | Organisationseinheit | Geschäftsauswirkung | Sicherheit- oder Rechtsvorschriften |
|---|---|---|---|---|
Lohndaten |
Corp-Finance-1 |
Kontoführung: Lese-/Schreibzugriff auf Corp-Finance-1 Abteilungsleiter Lohnbuchhaltung: Nur Schreibzugriff auf Corp-Finance-1 |
Hoch |
Finanzielle Integrität und Mitarbeiterdatenschutz |
Medizinische Krankenakten |
MedRec-2 |
Ärzte und Krankenschwestern: Lese-/Schreibzugriff auf Med/Rec-2 Laboranten: Nur Schreibzugriff auf MedRec-2 Kontoführung: Nur Lesezugriff auf MedRec-2 |
Hoch |
Strenge rechtliche und behördliche Standards |
Verbraucherschutzinformationen |
Web-Ext-1 |
Autoren von PR-Webinhalten: Lese-/Schreibzugriff auf Web-Ext-1 Öffentlich: Nur Lesezugriff auf Web-Ext-1 |
Niedrig |
Öffentliches Schulwesen und Image des Unternehmens |
Benutzer
Viele Organisationen finden es nützlich, die Benutzertypen, über die sie verfügen, und grundlegende Berechtigungen anhand dieser Klassifizierung zu klassifizieren. Dieselbe Klassifizierung hilft Ihnen beim Ermitteln, welche Benutzeraktivitäten der Sicherheitsüberwachung unterzogen werden sollten und wie die Menge der dadurch generierten Überwachungsdaten aussieht.
Organisationen können Unterschiede auf Grundlage der durch Benutzer zum Ausführen ihrer Aufgaben benötigten Rechts- und Berechtigungstypen erstellen. Beispielsweise können unter der Klassifizierung „Administratoren“ größere Organisationen lokale Administratorverantwortlichkeiten für einen einzelnen Computer, für bestimmte Anwendungen wie Exchange Server oder SQL Server oder für eine gesamte Domäne zuweisen. Unter „Benutzern“ können Berechtigungen und Gruppenrichtlinieneinstellungen auf alle Benutzer in einer Organisation oder auf nur einige Mitarbeiter in einer angegebenen Abteilung angewendet werden.
Wenn Ihre Organisation Rechtsvorschriften unterliegt, müssen Benutzeraktivitäten wie das Zugreifen auf Krankenakten oder Finanzdaten möglicherweise überwacht werden, um sicherzustellen, dass Sie diese Vorschriften einhalten.
Um die Benutzeraktivität effektiv zu überwachen, sollten Sie zunächst die unterschiedlichen Benutzertypen in Ihrer Organisation und die Datentypen aufführen, auf die sie zugreifen müssen, und zwar zusätzlich zu den Daten, auf die sie nicht zugreifen sollten.
Stellen Sie, wenn externe Benutzer auf Daten Ihrer Organisation zugreifen können, außerdem sicher, dass Sie sie identifizieren. Dazu zählt auch, ob sie zu einem Geschäftspartner gehören, ein Kunde oder ein allgemeiner Benutzer sind, die Daten, auf die sie zugreifen können und über welche Berechtigungen sie verfügen, um auf diese Daten zuzugreifen.
In der folgenden Tabelle wird eine Analyse der Benutzer in einem Netzwerk veranschaulicht. Auch wenn in diesem Beispiel eine einzelne Spalte mit dem Titel „Hinweise zur möglichen Überwachung“ vorhanden ist, können Sie auch zusätzliche Spalten erstellen, um zwischen unterschiedlichen Netzwerkaktivitätstypen wie Anmeldezeiten und Berechtigungsverwendung zu unterscheiden.
| Gruppen | Daten | Hinweise zur möglichen Überwachung |
|---|---|---|
Kontoadministratoren |
Benutzerkonten und Sicherheitsgruppen |
Kontoadministratoren verfügen über vollständige Berechtigungen zum Erstellen neuer Benutzerkonten, Zurücksetzen von Kennwörtern und Ändern von Sicherheitsgruppenmitgliedschaften. Wir benötigen eine Methode, um diese Änderungen zu überwachen. |
Mitglieder der OU Finanzen |
Finanzdaten |
Benutzer in der OU Finanzen verfügen über Lese-/Schreibzugriff auf kritische Finanzdaten. Sie können jedoch nicht die Berechtigungen für diese Ressourcen ändern. Diese Finanzdaten unterliegen der Erfüllung gesetzlicher Auflagen. |
Externe Partner |
Project Z |
Mitarbeiter von Partnerorganisationen verfügen über Lese-/Schreibzugriff auf bestimmte Projektdaten und Server, die mit Project Z in Zusammenhang stehen, jedoch nicht auf andere Server oder Daten im Netzwerk. |
Computer
Die Sicherheits- und Überwachungsanforderungen und der Überwachungsereignisumfang können für unterschiedliche Computertypen in einer Organisation erheblich variieren. Diese Anforderungen können auf Folgendem basieren:
Ob die Computer Server, Desktopcomputer oder tragbare Computer sind.
Die wichtigen Anwendungen, die auf den Computern ausgeführt werden, beispielsweise Exchange Server, SQL Server oder Forefront Identity Manager.
Hinweis
Ob die Serveranwendungen (einschließlich Exchange Server und SQL Server) über Überwachungseinstellungen verfügen. Weitere Informationen über das Überwachen in Exchange Server finden Sie im Sicherheitshandbuch für Exchange 2010. Weitere Informationen über das Überwachen in SQL Server 2008 finden Sie unter Überwachung (Datenbankmodul). Informationen über SQL Server 2012 finden Sie unter SQL Server Audit (Datenbankmodul).
Die Betriebssystemversionen.
Hinweis
Anhand der Betriebssystemversion werden die verfügbaren Überwachungsoptionen und das Volumen der Überwachungsereignisdaten bestimmt.
Der Geschäftswert der Daten.
Beispielsweise sind für einen Webserver, auf den externe Benutzer zugreifen, Überwachungseinstellungen erforderlich, die sich von einer Stammzertifizierungsstelle (CA) unterscheiden, die weder dem öffentlichen Internet noch den regulären Benutzern im Netzwerk der Organisation je offengelegt werden.
In der folgenden Tabelle wird eine Analyse der Computer in einer Organisation veranschaulicht.
| Typ des Computers und der Anwendungen | Betriebssystemversion | Ort |
|---|---|---|
Server, auf denen Exchange Server gehostet wird |
Windows Server 2008 R2 |
ExchangeSrv-OU |
Dateiserver |
Windows Server 2012 |
Nach Abteilung und (in einigen Fällen) nach Standort getrennte Ressourcen-OUs |
Tragbare Computer |
Windows Vista und Windows 7 |
Nach Abteilung und (in einigen Fällen) nach Standort getrennte OUs für tragbare Computer |
Webserver |
Windows Server 2008 R2 |
WebSrv-OU |
Rechtsvorschriften
Viele Branchen und Regionen weisen strenge und spezifische Anforderungen für Netzwerkvorgänge und die Art und Weise auf, wie Ressourcen geschützt sind. So gibt es beispielsweise im Gesundheitswesen und in der Finanzbranche strenge Richtlinien darüber, wer auf Datensätze zugreifen darf und wie sie verwendet werden. Viele Länder verfügen über strenge Datenschutzregeln. Um die Rechtsvorschriften zu bestimmen, sollten Sie mit der Rechtsabteilung Ihrer Organisation sowie mit den anderen Abteilungen zusammenarbeiten, die für diese Vorschriften verantwortlich sind. Anschließend sollten Sie die Sicherheitskonfigurations- und Überwachungsoptionen berücksichtigen, die verwendet werden können, um diese Vorschriften zu erfüllen und um die Konformität mit diesen zu überprüfen.
Weitere Informationen finden Sie im Thema über das System Center-Verarbeitungspaket für IT GRC.
Zuordnen der Sicherheitsüberwachungsrichtlinie zu Benutzergruppen, Computern und Ressourcen in Ihrer Organisation
Mithilfe von „Gruppenrichtlinie“ können Sie Ihre Sicherheitsüberwachungsrichtlinie auf definierte Benutzergruppen, Computer und Ressourcen anwenden. Um eine Sicherheitsüberwachungsrichtlinie zu diesen definierten Gruppen in Ihrer Organisation zuzuordnen, sollten Sie die folgenden Hinweise für das Verwenden von „Gruppenrichtlinie“ zum Anwenden von Sicherheitsüberwachungsrichtlinien-Einstellungen verstehen:
Die von Ihnen bestimmten Richtlinieneinstellungen können mithilfe von mindestens einem GPO angewendet werden. Verwenden Sie zum Erstellen und Bearbeiten eines GPOs die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Indem Sie die GPMC zum Verknüpfen eines GPOs mit ausgewählten Active Directory-Standorten, -Domänen und -OUs verwenden, können Sie die Richtlinieneinstellungen im GPO für die Benutzer und Computer in diesen Active Directory-Objekten anwenden. Bei einer OU handelt es sich den Active Directory-Container auf der untersten Ebene, dem Sie Gruppenrichtlinieneinstellungen zuweisen können.
Für jede Richtlinieneinstellung, die Sie auswählen, müssen Sie entscheiden, ob sie organisationsübergreifend oder nur auf ausgewählte Benutzer oder Computer erzwungen werden soll. Sie können diese Überwachungsrichtlinieneinstellungen anschließend in GPOs kombinieren und sie mit den entsprechenden Active Directory-Containern verknüpfen.
Standardmäßig werden die in den GPOs festgelegten Optionen, die mit höheren Ebenen von Active Directory-Standorten, -Domänen und -OUs verknüpft sind, durch alle OUs auf niedrigeren Ebenen geerbt. Ein mit einer niedrigeren Ebene verknüpftes GPO kann jedoch die geerbten Richtlinien überschreiben.
Beispielsweise können Sie ein Domänen-Gruppenrichtlinienobjekt zur Zuweisung einer organisationsweiten Gruppe von Überwachungseinstellungen verwenden, möchten aber, dass eine bestimmte Organisationseinheit eine definierte Gruppe zusätzlicher Einstellungen erhält. Um dies zu erreichen, können Sie ein zweites Gruppenrichtlinienobjekt mit dieser bestimmten Organisationseinheit auf niedrigerer Ebene verknüpfen. Daher überschreibt eine Anmeldeeinstellung, die auf der Ebene der Organisationseinheit angewendet wird, eine damit in Konflikt stehende Anmeldeüberwachungseinstellung, die auf Domänenebene angewendet wird (es sei denn, Sie haben besondere Schritte unternommen, um die Loopback-Verarbeitung von Gruppenrichtlinien anzuwenden).
Überwachungsrichtlinien sind Computerrichtlinien. Daher müssen sie über GPOs angewendet werden, die auf die Computer-OUs und nicht auf Benutzer-OUs angewendet werden. In den meisten Fällen können Sie die Überwachungseinstellungen jedoch nur für angegebene Ressourcen und Benutzergruppen anwenden, indem Sie SACLs für relevante Objekte konfigurieren. Dies ermöglicht die Überwachung für eine Sicherheitsgruppe, die nur die von Ihnen angegebenen Benutzer enthält.
So können Sie etwa eine SACL für einen Ordner mit der Bezeichnung „Lohndaten auf Buchhaltungsserver 1“ konfigurieren. Dadurch werden Zugriffsversuche von Mitgliedern der Organisationseinheit „Lohnverarbeiter“ zum Löschen von Objekten aus diesem Ordner überwacht. Die Überwachungsrichtlinieneinstellung Objektzugriff\Dateisystem überwachen gilt für den Buchhaltungsserver 1, da dazu aber eine entsprechende Ressourcen-SACL erforderlich ist, führen nur Aktionen von Mitgliedern der Organisationseinheit „Lohnverarbeiter“ im Lohndatenordner zu Überwachungsereignissen.
In Windows Server 2008 R2 bzw. Windows 7 wurden erweiterte Sicherheitsüberwachungsrichtlinien-Einstellungen eingeführt, und sie können auf diese Betriebssysteme und höher angewendet werden. Diese erweiterten Überwachungsrichtlinien können nur mithilfe von „Gruppenrichtlinie“ angewendet werden.
Wichtig
Unabhängig davon, ob Sie erweiterte Überwachungsrichtlinien über eine Gruppenrichtlinie oder mit Anmeldeskripts anwenden, verwenden Sie nicht gleichzeitig die grundlegenden Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien/Überwachungsrichtlinie und die erweiterten Einstellungen unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration. Die gleichzeitige Verwendung von erweiterten und grundlegenden Überwachungsrichtlinieneinstellungen kann zu unerwarteten Ergebnissen bei den Überwachungsberichten führen.
Wenn Sie die Einstellungen der Erweiterten Überwachungsrichtlinienkonfiguration oder Anmeldeskripts für die Anwendung erweiterter Überwachungsrichtlinien verwenden, achten Sie darauf, dass Sie die Richtlinieneinstellung Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen unter Lokale Richtlinien/Sicherheitsoptionen aktivieren. Dies verhindert Konflikte zwischen ähnlichen Einstellungen, da grundlegende Sicherheitsüberwachungen ignoriert werden.
Im Folgenden finden Sie Beispiele, wie Überwachungsrichtlinien auf die OU-Struktur einer Organisation angewendet werden können:
Wenden Sie die Datenaktivitätseinstellungen auf eine OU an, die Dateiserver enthält. Wenn Ihre Organisation über Server verfügt, auf denen insbesondere sensible Daten gespeichert sind, sollten Sie in Erwägung ziehen, sie in eine getrennte OU zu versetzen, sodass Sie eine genauere Überwachungsrichtlinie für diese Server konfigurieren und auf diese anwenden können.
Wenden Sie Benutzeraktivitätsüberwachungs-Richtlinien auf eine OU an, die alle Computer in der Organisation enthält. Wenn Ihre Organisation Benutzer auf Grundlage der jeweiligen Abteilung, in der sie arbeiten, in OUs platziert, sollten Sie in Erwägung ziehen, ausführlichere Sicherheitsberechtigungen für kritische Ressourcen zu konfigurieren und anzuwenden, auf die durch Mitarbeiter zugegriffen wird, die in sensiblen Bereichen arbeiten, beispielsweise Netzwerkadministratoren oder die Rechtsabteilung.
Wenden Sie Netzwerk- und Systemaktivitätsüberwachungs-Richtlinien auf die OUs an, die die kritischsten Server der Organisation enthalten, beispielsweise die Domänencontroller, Zertifizierungsstellen, E-Mail-Server oder Datenbankserver.
Zuordnen Ihrer Sicherheitsüberwachungsziele zu einer Sicherheitsüberwachungsrichtlinien-Konfiguration
Nachdem Sie Ihre Sicherheitsüberwachungsziele ermittelt haben, können Sie beginnen, sie einer Sicherheitsüberwachungsrichtlinien-Konfiguration zuzuordnen. Diese Überwachungsrichtlinienkonfiguration muss die kritischsten Sicherheitsüberwachungsziele abdecken. Sie muss jedoch auch die Einschränkungen Ihrer Organisation berücksichtigen. Dazu zählen beispielsweise die Anzahl der zu überwachenden Computer, die Anzahl der der zu überwachenden Aktivitäten, die Anzahl der Überwachungsereignisse, die durch Ihre gewünschte Überwachungskonfiguration generiert wird, und die Anzahl der verfügbaren Administratoren, um Überwachungsdaten zu analysieren und ihnen entsprechend zu handeln.
Beim Erstellen Ihrer Überwachungsrichtlinienkonfiguration ist Folgendes erforderlich:
Ermitteln Sie sämtliche Überwachungsrichtlinieneinstellungen, die zum Erfüllen Ihrer Anforderungen verwendet werden können.
Wählen Sie die Überwachungseinstellungen aus, die Ihre im vorherigen Abschnitt ermittelten Überwachungsanforderungen am effektivsten erfüllen.
Bestätigen Sie, dass die von Ihnen ausgewählten Einstellungen mit den Betriebssystemen auf den zu überwachenden Computern kompatibel sind.
Wählen Sie die für die Überwachungseinstellungen gewünschten Konfigurationsoptionen („Erfolgreich“, „Fehler“ oder beide) aus.
Stellen Sie die Überwachungseinstellungen in einer Lab- oder Testumgebung bereit. um zu überprüfen, ob sie die gewünschten Ergebnisse hinsichtlich Umfang, Wartungsfreundlichkeit und Vollständigkeit erfüllen. Stellen Sie die Überwachungseinstellungen anschließend in einer Pilotproduktionsumgebung bereit, um sicherzustellen, dass Ihre Schätzwerte dahingehend, wie viele Überwachungsdaten durch Ihren Überwachungsplan generiert werden, realistisch sind und damit Sie diese Daten verwalten können.
Ermitteln von Überwachungsrichtlinienoptionen
Sicherheitsüberwachungsrichtlinien-Einstellungen in den unterstützten Versionen von Windows können an den folgenden Speicherorten angezeigt und konfiguriert werden:
Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie.
Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration. Weitere Informationen finden Sie unter Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien.
Auswählen der gewünschten Überwachungseinstellungen
In Abhängigkeit Ihrer Ziele stellen unterschiedliche Sätze von Überwachungseinstellungen möglicherweise einen besonderen Wert für Sie dar. Beispielsweise können einige Einstellungen unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration verwendet werden, um die folgenden Aktivitätstypen zu überwachen:
Daten und Ressourcen
Benutzer
Netzwerk
Wichtig
Im Verweis beschriebene Einstellungen stellen möglicherweise auch wichtige Informationen über die Aktivität bereit, die durch eine andere Einstellung überwacht wird. Beispielsweise haben die Einstellungen, die zum Überwachen der Benutzer- und Netzwerkaktivität verwendet werden, eine offensichtliche Relevanz für das Schützen Ihrer Datenressourcen. Gleichermaßen haben Versuche, Datenressourcen zu kompromittieren, große Auswirkungen auf den Gesamtnetzwerkstatus und potenziell darauf, wie gut Sie die Benutzeraktivitäten im Netzwerk verwalten.
Daten- und Ressourcenaktivität
Für viele Organisationen kann das Kompromittieren der Organisationsdatenressourcen neben dem verlorenen Ansehen und der gesetzlichen Haftung zu erheblichen finanziellen Verlusten führen. Wenn Ihre Organisation über kritische Datenressourcen verfügen, die vor Verletzungen geschützt werden müssen, können sie folgenden Einstellungen extrem wertvolle Überwachungs- und forensische Daten bereitstellen:
Objektzugriff\Dateifreigabe überwachen. Mit dieser Richtlinieneinstellung können Sie nachverfolgen, auf welche Inhalte zugegriffen wurde, wie die Quelle (IP-Adresse und Port) der Anforderung sowie das für den Zugriff verwendete Benutzerkonto lauten. Der Umfang der anhand dieser Einstellung generierten Ereignisdaten variiert in Abhängigkeit der Anzahl an Clientcomputern, die versuchen, auf die Dateifreigabe zuzugreifen. Auf einem Dateiserver oder Domänencontroller ist der Umfang aufgrund des SYSVOL-Zugriffs durch Clientcomputer für die Richtlinienverarbeitung möglicherweise hoch. Wenn Sie den routinemäßigen Zugriff durch Clientcomputer, die über die Berechtigungen verfügen, auf die Dateifreigabe zuzugreifen, nicht aufzeichnen müssen, möchten Sie diese Überwachungsereignisse möglicherweise nur für fehlerhafte Zugriffsversuche auf die Dateifreigabe protokollieren.
Objektzugriff\Dateisystem überwachen. Mit dieser Richtlinieneinstellung wird bestimmt, ob das Betriebssystem die Zugriffsversuche auf die Dateisystemobjekte durch den Benutzer überwacht. Überwachungsereignisse werden nur für Objekte (wie Dateien und Ordner) generiert, die über konfigurierte SACLs verfügen. Zudem werden die nur dann generiert, wenn die Art des angefragten Zugriffs (wie etwa Schreiben, Lesen oder Ändern) und das Konto, von dem die Anfrage ausgeht, den Einstellungen in der SACL entsprechen.
Wenn die Erfolgsüberwachung aktiviert ist, wird immer dann ein Überwachungsereignis generiert, wenn ein Konto erfolgreich auf ein Dateisystemobjekt mit einer entsprechenden SACL zugreift. Wenn die Fehlerüberwachung aktiviert ist, wird immer dann ein Überwachungsereignis generiert, wenn ein Benutzer erfolglos versucht, auf ein Dateisystemobjekt mit einer entsprechenden SACL zuzugreifen. Der Umfang der anhand der Richtlinieneinstellung Dateisystem überwachen generierten Überwachungsdaten kann sich in Abhängigkeit der gemäß der Konfiguration zu überwachenden Anzahl der Objekte erheblich unterscheiden.
Hinweis
Verwenden Sie zum Überwachen der Zugriffsversuche auf alle Dateisystemobjekte auf einen Computer durch einen Benutzer die globalen Objektzugriffsüberwachungs-Einstellungen Registry (Global Object Access Auditing) (Registrierung (Globale Objektzugriffsüberwachung)) oder File System (Global Object Access Auditing) (Dateisystem (Globale Objektzugriffsüberwachung)).
Objektzugriff\Handleänderung überwachen. Mit dieser Richtlinieneinstellung wird bestimmt, ob das Betriebssystem Überwachungsereignisse generiert, wenn ein Handle für ein Objekt geöffnet oder geschlossen wird. Nur Objekte mit konfigurierten SACLs generieren dieser Ereignisse, und zwar auch nur dann, wenn der versuchte Handlevorgang mit der SACL übereinstimmt.
Ereignisvolumen: kann hoch sein, je nachdem, wie die SACLs konfiguriert sind. Wenn die Richtlinieneinstellung Handleänderung überwachen in Kombination mit der Richtlinieneinstellung Dateisystem überwachen oder Registrierung überwachen verwendet wird, bietet dies dem Administrator möglicherweise hilfreiche „Grund für Zugriff“-Überwachungsdaten, in denen die genauen Berechtigungen aufgeführt werden, auf denen das Überwachungsereignis basiert. Wenn eine Datei beispielsweise als eine schreibgeschützte Ressource konfiguriert ist, ein Benutzer jedoch versucht, Änderungen an der Datei vorzunehmen, werden im Überwachungsereignis nicht nur das Ereignis, sondern auch die Berechtigungen protokolliert, die verwendet wurden (oder deren Verwendung versucht wurde), um die Dateiänderungen zu speichern.
Globale Objektzugriffsüberwachung. Immer mehr Organisationen verwenden die Sicherheitsüberwachung, um die Rechtsvorschriften einzuhalten, die Datensicherheit und den Datenschutz abdecken. Das Aufzeigen, dass strenge Kontrollen erzwungen werden, kann jedoch extrem schwierig sein. Um dieses Problem zu beheben, verfügen die unterstützten Windows-Versionen über zwei Richtlinieneinstellungen vom Typ Globale Objektzugriffsüberwachung: eine für die Registrierung und die andere für das Dateisystem. Wenn Sie diese Einstellungen konfigurieren, wenden sie eine globale Systemzugriffssteuerungs-SACL auf alle Objekte dieser Klasse in einem System an, die nicht überschrieben oder umgegangen werden kann.
Wichtig
Die Richtlinieneinstellungen vom Typ Globale Objektzugriffsüberwachung müssen zusammen mit den Überwachungsrichtlinieneinstellungen Dateisystem überwachen und Registrierung überwachen in der Kategorie Objektzugriff konfiguriert und angewendet werden. Weitere Informationen über das Verwenden der Richtlinieneinstellungen vom Typ Globale Objektzugriffsüberwachung finden Sie unter Exemplarische Vorgehensweise – erweiterte Sicherheitsüberwachung.
Benutzeraktivität
Die Einstellungen im vorherigen Abschnitt beziehen sich auf die Aktivität im Zusammenhang mit den Dateien, Ordnern und Netzwerkfreigaben, die in einem Netzwerk gespeichert sind. Die Einstellungen in diesem Abschnitt richten sich jedoch an Benutzer, einschließlich der Mitarbeiter, Partner und Kunden, die möglicherweise versuchen, auf diese Ressourcen zuzugreifen.
In den meisten Fällen sind diese Versuche legitim, und in einem Netzwerk müssen legitime Benutzer auf wichtige Daten zugreifen können. In anderen Fällen versuchen Mitarbeiter, Partner und sonstige Personen möglicherweise, auf Ressourcen zuzugreifen, auch wenn sie keinen legitimen Zugriffsgrund dafür besitzen. Die Sicherheitsüberwachung kann verwendet werden, um eine große Vielfalt an Benutzeraktivitäten auf einem bestimmten Computer nachzuverfolgen, um Probleme für zu diagnostizieren und für legitime Benutzer zu beheben und um nicht legitime Aktivitäten zu ermitteln und zu bekämpfen. Im Folgenden finden Sie einige wichtige Einstellungen, die Sie auswerten sollten, um die Benutzeraktivität in Ihrem Netzwerk nachzuverfolgen:
Kontoanmeldung\Überprüfen der Anmeldeinformationen überwachen. Hierbei handelt es sich um eine äußerst wichtige Richtlinieneinstellung, da sie Ihnen ermöglicht, jeden erfolgreichen und fehlerhaften Versuch, die Anmeldeinformationen für eine Benutzeranmeldung darzustellen, nachzuverfolgen. Ein Muster fehlerhafter Anmeldeversuche weist insbesondere möglicherweise darauf hin, dass ein Benutzer oder eine Anwendung nicht mehr gültige Anmeldeinformationen oder eine Vielzahl an Anmeldeinformationen nacheinander verwendet, damit einer dieser Versuche schließlich erfolgreich ist. Diese Ereignisse treten auf dem Computer auf, der für die Anmeldeinformationen autoritativ ist. Für Domänenkonten ist der Domänencontroller autoritativ. Für lokale Konten ist der lokale Computer autoritativ.
Detaillierte Überwachung\Prozesserstellung überwachen und Detaillierte Überwachung\Prozessbeendung überwachen. Mit diesen Richtlinieneinstellungen können Sie die Anwendungen überwachen, die durch einen Benutzer auf einem Computer geöffnet und geschlossen werden.
DS-Zugriff\Verzeichnisdienstzugriff überwachen und DS-Zugriff\Verzeichnisdienständerungen überwachen. Diese Richtlinieneinstellungen stellen eine detaillierte Überwachungsliste hinsichtlich der Zugriffsversuche auf die Objekte „create“, „modify“, „delete“, „move“ oder „undelete“ in den Active Directory-Domänendiensten (AD DS) bereit. Nur Domänenadministratoren verfügen über die Berechtigungen zum Ändern der AD DS-Objekte. Daher ist es äußerst wichtig, böswillige Versuche zu ermitteln, die auf die Änderung dieser Objekte abzielen. Zusätzlich können Sie, auch wenn Domänenadministratoren zu den vertrauenswürdigsten Mitarbeitern einer Organisation zählen sollten, durch die Verwendung der Einstellungen Verzeichnisdienstzugriff überwachen und Verzeichnisdienständerungen überwachen überwachen und überprüfen, ob nur genehmigte Änderungen an AD DS vorgenommen wurden. Diese Überwachungsereignisse werden nur auf Domänencontrollern protokolliert.
Anmelden/Abmelden\Kontosperrung überwachen. Ein weiteres häufiges Sicherheitsszenario erfolgt, wenn ein Benutzer versucht, sich mit einem gesperrten Konto anzumelden. Es ist wichtig, diese Ereignisse zu ermitteln und zu bestimmen, ob der Versuch, ein gesperrtes Konto zu verwenden, böswillig ist.
Anmelden/Abmelden\Abmelden überwachen und Anmelden/Abmelden\Anmelden überwachen. Anmelde- und Abmeldeereignisse sind wichtig für die Nachverfolgung der Benutzeraktivität und zum Erkennen potenzieller Angriffe. Anmeldeereignisse beziehen sich auf die Erstellung von Anmeldesitzungen und treten auf dem Computer auf, auf den zugegriffen wurde. Bei einer interaktiven Anmeldung werden die Ereignisse auf dem Computer generiert, bei dem die Anmeldung stattfand. Bei einer Netzwerkanmeldung, wie etwa beim Zugriff auf eine freigegebene Ressource, werden die Ereignisse auf dem Computer generiert, der die Ressource hostet, auf die zugegriffen wurde. Abmeldeereignisse werden generiert, wenn Anmeldesitzungen beendet werden.
Hinweis
Für die Abmeldeaktivität gibt es kein Fehlerereignis, da fehlerhafte Abmeldungen (etwa bei einem abrupten Herunterfahren des Systems) keinen Überwachungsdatensatz generieren. Abmeldeereignisse sind nicht zu 100 Prozent zuverlässig. So kann es etwa sein, dass ein Computer ohne richtige Abmeldung und Herunterfahren ausgeschaltet wird. In diesem Fall wird kein Abmeldeereignis generiert.
Anmelden/Abmelden\Spezielle Anmeldung überwachen. Eine spezielle Anmeldung weist administratorgleiche Rechte auf und kann verwendet werden, um einen Prozess auf eine höhere Ebene hochzustufen. Sie sollten diese Anmeldetypen nachverfolgen. Weitere Informationen über dieses Feature finden Sie im Artikel 947223 in der Microsoft Knowledge Base.
Objektzugriff\Zertifizierungsdienste überwachen. Mit dieser Richtlinieneinstellung können Sie eine große Vielfalt an Aktivitäten auf einem Computer, auf dem die Active Directory-Zertifikatdienste-Rollendienste (Active Directory Certificate Services, AD CS) gehostet werden, nachverfolgen und überwachen, um sicherzustellen, dass nur autorisierte Benutzer diese Aufgaben ausführen oder versuchen, sie auszuführen, und dass nur autorisierte oder gewünschte Aufgaben ausgeführt werden.
Objektzugriff\Dateisystem überwachen und Objektzugriff\Dateifreigabe überwachen. Diese Richtlinieneinstellungen werden im vorherigen Abschnitt beschrieben.
Objektzugriff\Handleänderung überwachen. Diese Richtlinieneinstellung und die zugehörige Rolle für das Bereitstellen von „Grund für Zugriff“-Überwachungsdaten werden im vorherigen Abschnitt beschrieben.
Objektzugriff\Registrierung überwachen. Das Überwachen von Änderungen an der Registrierung ist eines der kritischsten Instrumente, die ein Administrator sicherstellen muss, damit durch böswillige Benutzer keine Änderungen an grundlegenden Computereinstellungen vorgenommen werden. Überwachungsereignisse werden nur für Objekte mit konfigurierten SACLs und auch nur dann erstellt, wenn die Art des angefragten Zugriffs (wie etwa Schreiben, Lesen oder Ändern) und das Konto, von dem die Anfrage ausgeht, den Einstellungen in der SACL entsprechen.
Wichtig
Auf kritischen Systemen, auf denen alle Registrierungseinstellungsänderungs-Versuche nachverfolgt werden müssen, können Sie die Richtlinieneinstellung Registrierung überwachen mit den Richtlinieneinstellungen vom Typ Globale Objektzugriffsüberwachung kombinieren, um sicherzustellen, dass alle Versuche, die Registrierungseinstellungen auf einem Computer zu ändern, nachverfolgt werden.
Objektzugriff\SAM überwachen. Die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) ist eine Datenbank, die auf Computern unter Windows vorhanden ist und Benutzerkonten- sowie Sicherheitsbeschreibungen für Benutzer auf dem lokalen Computer speichert. Änderungen an Benutzer- und Gruppenobjekten werden von der Kategorie Kontenverwaltung überwachen nachverfolgt. Benutzerkonten mit den entsprechenden Benutzerrechten könnten jedoch potenziell die Dateien ändern, in denen die Konto- und Kennwortinformationen im System gespeichert sind und so Kontoverwaltungsereignisse umgehen.
Berechtigungen\Sensible Verwendung von Rechten überwachen. Richtlinieneinstellungen vom Typ Berechtigungen und Überwachungsereignisse zur Verwendung von Berechtigungen ermöglichen die Nachverfolgung der Verwendung bestimmter Rechte auf einem oder mehreren Systemen. Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein Überwachungsereignis generiert, wenn sensible Rechte angefordert werden.
Netzwerkaktivität
Mit den folgenden Netzwerkaktivitätsrichtlinien-Einstellungen können Sie sicherheitsbezogene Probleme überwachen, die nicht zwangsläufig in den Daten- oder Benutzeraktivitätskategorien abgedeckt sind, aber für den Netzwerkstatus und -schutz gleichermaßen wichtig sind.
Kontoverwaltung. Die Richtlinieneinstellungen in dieser Kategorie können verwendet werden, um Versuche nachzuverfolgen, Benutzer- oder Computerkonten, Sicherheitsgruppen oder Verteilergruppen zu erstellen, zu löschen oder zu ändern. Das Überwachen dieser Aktivitäten ergänzt die von Ihnen in den Benutzeraktivitäts- und Datenaktivitätsabschnitten ausgewählten Überwachungsstrategien.
Kontoanmeldung\Kerberos-Authentifizierungsdienst überwachen und Kontoanmeldung\Ticketvorgänge des Kerberos-Diensts überwachen. Die Überwachungsrichtlinieneinstellungen in der Kategorie Kontoanmeldung überwachen Aktivitäten, die mit der Verwendung der Domänenkontoanmeldeinformationen zusammenhängen. Diese Richtlinieneinstellungen ergänzen die Richtlinieneinstellungen in der Kategorie Anmelden/Abmelden. Mit der Richtlinieneinstellung Kerberos-Authentifizierungsdienst überwachen können Sie den Status und potenzielle Bedrohungen für den Kerberos-Dienst überwachen. Mit der Überwachungsrichtlinieneinstellung Ticketvorgänge des Kerberos-Diensts können Sie die Verwendung von Kerberos-Diensttickets überwachen.
Hinweis
Richtlinieneinstellungen vom Typ Kontoanmeldung gelten nur für spezifische Domänenkontoaktivitäten, unabhängig vom Computer, auf den zugegriffen wird. Demgegenüber gelten Richtlinieneinstellungen vom Typ Anmelden/Abmelden für die Computer, die die Ressourcen hosten, auf die zugegriffen wird.
Kontoanmeldung\Andere Kontoanmeldungsereignisse überwachen. Diese Richtlinieneinstellung kann verwendet werden, um eine Anzahl der unterschiedlichen Netzwerkaktivitäten nachzuverfolgen. Dazu gehören die Versuche, Remotedesktopverbindungen, drahtgebundene Netzwerkverbindungen und drahtlose Netzwerkverbindungen herzustellen.
DS-Zugriff. Mit den Richtlinieneinstellungen in dieser Kategorie können Sie den AD DS-Rollendienst überwachen. Dieser stellt Kontodaten bereit, überprüft Anmeldungen, verwaltet Netzwerkzugriffsberechtigungen und stellt andere Dienste bereit, die für die Sicherheit und die ordnungsgemäße Funktion eines Netzwerks entscheidend sind. Daher kann das Überwachen der Rechte für das Zugreifen auf und Ändern der Konfiguration eines Domänencontrollers einer Organisation dabei helfen, ein sicheres und vertrauenswürdiges Netzwerk aufrechtzuerhalten. Zudem besteht eine der Hauptaufgaben, die durch AD DS ausgeführt wird, darin, die Replikation von Daten zwischen Domänencontrollern auszuführen.
Anmelden/Abmelden\IPsec-Erweiterungsmodus überwachen, Anmelden/Abmelden\IPsec-Hauptmodus überwachen und Anmelden/Abmelden\IPsec-Schnellmodus überwachen. Viele Netzwerke unterstützen eine große Anzahl an externen Benutzern. Dies umfasst auch Remotemitarbeiter und Partner. Da sich diese Benutzer außerhalb der Netzwerkgrenzen der Organisation befinden, wird oftmals IPsec verwendet, um die Kommunikationen über das Internet zu schützen. Dies erfolgt durch die Aktivierung der Peerauthentifizierung auf Netzwerkebene, die Datenursprungsauthentifizierung, Datenintegrität, Datenvertraulichkeit (Verschlüsselung) und den Schutz gegen Replay-Angriffe. Sie können diese Einstellungen verwenden, um sicherzustellen, dass die IPsec-Dienste ordnungsgemäß funktionieren.
Anmelden/Abmelden\Netzwerkrichtlinienserver überwachen. Organisationen, die RADIUS (IAS) und den Netzwerkzugriffsschutz (Network Access Protection, NAP) zum Festlegen und Verwalten der Sicherheitsanforderungen für externe Benutzer verwenden, können diese Richtlinieneinstellung verwenden, um die Wirksamkeit dieser Richtlinien zu überwachen und zu bestimmen, ob jemand versucht, diese Schutzvorrichtungen zu umgehen.
Richtlinienänderung. Mit diesen Richtlinieneinstellungen und Ereignissen können Sie die Änderungen an wichtigen Sicherheitsrichtlinien auf einem lokalen Computer oder Netzwerk nachverfolgen. Da Richtlinien für gewöhnlich von Administratoren eingerichtet werden, um Netzwerkressourcen zu schützen, können Änderungen an den Richtlinien oder Versuche, diese zu ändern, ein wichtiger Bestandteil der Sicherheitsverwaltung für ein Netzwerk sein.
Richtlinienänderung\Überwachungsrichtlinienänderung überwachen. Mit dieser Richtlinieneinstellung können Sie Änderungen an der Überwachungsrichtlinie überwachen. Wenn böswillige Benutzer Domänenadministrator-Anmeldeinformationen abrufen, können sie temporär wichtige Sicherheitsüberwachungsrichtlinien-Einstellungen deaktivieren, sodass ihre anderweitigen Aktivitäten im Netzwerk nicht ermittelt werden können.
Richtlinienänderung\Filterplattform-Richtlinienänderung überwachen. Diese Richtlinieneinstellung kann verwendet werden, um eine große Vielfalt an Änderungen an den IPsec-Richtlinien einer Organisation zu überwachen.
Richtlinienänderung\MPSSVC-Richtlinienänderung auf Regelebene überwachen. Diese Richtlinieneinstellung bestimmt, ob das Betriebssystem Überwachungsereignisse generiert, sobald Änderungen an den Richtlinienregeln für Microsoft Protection Service („MPSSVC.exe“) vorgenommen werden, der durch die Windows-Firewall verwendet wird. Änderungen an Firewallregeln sind wichtig für das Verständnis des Sicherheitsstatus des Computers und der Qualität des Schutzes gegen Netzwerkangriffe.
Bestätigen der Kompatibilität der Betriebssystemversion
Nicht alle Versionen von Windows unterstützen die erweiterten Überwachungsrichtlinieneinstellungen oder die Verwendung von „Gruppenrichtlinie“ zum Anwenden und Verwalten dieser Einstellungen. Weitere Informationen finden Sie unter Welche Editionen von Windows unterstützen die erweiterte Überwachungsrichtlinienkonfiguration.
Die Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien\Überwachungsrichtlinien überschneiden sich mit den Überwachungsrichtlinieneinstellungen unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration. Die erweiterten Überwachungsrichtlinienkategorien und -unterkategorien ermöglichen es jedoch, den Fokus der Überwachungsmaßnahmen auf die kritischsten Ressourcen zu lenken und gleichzeitig die Anzahl der Überwachungsdaten zu reduzieren, die für Ihre Organisation weniger wichtig sind.
So enthält beispielsweise Lokale Richtlinien\Überwachungsrichtlinie eine einzelne Einstellung mit der Bezeichnung Anmeldeversuche überwachen. Wenn diese Einstellung konfiguriert ist, generiert sind mindestens 10 Überwachungsereignistypen.
Im Vergleich dazu stellt die „Kontoanmeldung“-Kategorie unter Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration die folgenden erweiterten Einstellungen bereit, mit denen Sie Ihre Überwachung entsprechend konzentrieren können:
Überprüfung der Anmeldeinformationen
Kerberos-Authentifizierungsdienst
Ticketvorgänge des Kerberos-Diensts
Andere Kontoanmeldungsereignisse
Diese Einstellungen ermöglichen Ihnen eine wesentlich engmaschigere Kontrolle darüber, welche Aktivitäten oder Ereignisse Ereignisdaten generieren. Einige Aktivitäten und Ereignisse sind für Ihre Organisation wichtiger. Daher sollten Sie den Bereich Ihrer Sicherheitsüberwachungsrichtlinie so genau wie möglich definieren.
„Erfolgreich“, „Fehler“ oder beide Status
Unabhängig davon, welche Ereigniseinstellungen Sie in Ihren Plan einbeziehen, müssen Sie auch entscheiden, ob Sie ein Ereignis protokollieren möchten, wenn bei der Aktivität Fehler auftreten, wenn sie erfolgreich ist oder wenn sie sowohl erfolgreich als auch fehlerhaft ist. Dies ist eine wichtige Frage, und die Antwort basiert auf der Kritikalität des Ereignisses und der Auswirkung der Entscheidung über den Ereignisumfang.
So sind Sie beispielsweise, wenn auf einen Dateiserver häufig durch nicht legitimierte Benutzer zugegriffen wird, daran interessiert, ein Ereignis nur dann zu protokollieren, wenn ein nicht erfolgreicher Zugriffsversuch auf die Daten erfolgt, da dies ein Beweis für einen nicht autorisierten oder böswilligen Benutzer sein könnte. In dieser Instanz würde das Protokollieren erfolgreiche Zugriffsversuche auf den Server schnell das Ereignisprotokoll mit harmlosen Ereignissen auffüllen.
Andererseits möchten Sie möglicherweise jeden erfolgreichen oder fehlerhaften Zugriffsversuch protokollieren, wenn die Dateifreigabe über äußerst sensible und wertvolle Informationen verfügt, damit Sie über eine Überwachungsliste sämtlicher Benutzer verfügen, die auf die Ressource zugegriffen haben.
Planen der Sicherheitsüberwachung und -verwaltung
Netzwerke können Hunderte Server enthalten, auf denen kritische Dienste ausgeführt oder kritische Daten gespeichert werden, die allesamt überwacht werden müssen. Die Anzahl der Clientcomputer im Netzwerk kann problemlos in die Zehn- bis Hundertausende gehen. Dies ist jedoch möglicherweise kein Problem, wenn das Verhältnis der Server oder Clientcomputer pro Administrator gering ist. Selbst wenn ein Administrator, der für das Überwachen der Sicherheit und von Leistungsproblemen verantwortlich ist, relativ wenige Computer überwachen muss, müssen Sie entscheiden, wie ein Administrator zu überprüfende Ereignisdaten abruft. Im Folgenden finden Sie einige Optionen für das Abrufen von Ereignisdaten.
Möchten Sie Ereignisdaten auf einem lokalen Computer aufbewahren, bis sich ein Administrator anmeldet, um diese Daten anzuzeigen? Wenn dies der Fall ist, muss der Administrator über physischen oder Remotezugriff auf die Ereignisanzeige auf jedem Clientcomputer oder Server verfügen, und die Remotezugriffs- und Firewalleinstellungen auf jedem Clientcomputer oder Server müssen so konfiguriert sein, dass sie diesen Zugriff zulassen. Darüber hinaus müssen Sie entscheiden, wie oft ein Administrator jeden Besucher aufrufen kann, und die Größe des Überwachungsprotokolls festlegen, sodass die kritischen Informationen nicht gelöscht werden, wenn das Protokoll seine maximale Kapazität erreicht.
Sammeln Sie die Ereignisdaten, sodass sie in einer zentralen Konsole überprüft werden können? Wenn dies der Fall ist, stehen einige Computerverwaltungsprodukte wie die Überwachungssammeldienste in Operations Manager 2007 und 2012 zur Verfügung, die zum Sammeln und Filtern von Ereignisdaten verwendet werden können. Mit dieser Lösung kann ein einzelner Administrator voraussichtlich größere Datenmengen überprüfen, als wenn er die lokale Speicheroption verwenden würde. In einigen Fällen kann dies jedoch dazu führen, dass es schwieriger wird, Cluster von zugehörigen Ereignissen zu ermitteln, die auf einem einzelnen Computer vorkommen.
Darüber hinaus müssen Sie, unabhängig davon, ob Sie die Überwachungsdaten auf einem einzelnen Computer lassen oder sie an einem zentralen Speicherort konsolidieren, entscheiden, wie groß die Protokolldatei sein sollte und was passieren sollte, wenn das Protokoll die maximale Größe erreicht. Öffnen Sie zum Konfigurieren dieser Optionen die Ereignisanzeige, erweitern Sie Windows-Protokolle, klicken Sie mit der rechten Maustaste auf Sicherheit, und klicken Sie auf Eigenschaften. Sie können die folgenden Eigenschaften konfigurieren:
Ereignisse bei Bedarf überschreiben (älteste Ereignisse zuerst). Dies ist die Standardoption, die in den meisten Situationen eine akzeptable Lösung darstellt.
Volles Protokoll archivieren, Ereignisse nicht überschreiben. Diese Option kann verwendet werden, wenn sämtliche Protokolldaten gespeichert werden müssen. Sie deutet jedoch ebenso an, dass Sie die Überwachungsdaten nicht häufig genug überprüfen.
Ereignisse nicht überschreiben (Protokolle manuell leeren). Mit dieser Option wird die Sammlung von Überwachungsdaten beendet, wenn die Protokolldatei ihre maximale Größe erreicht. Ältere Daten werden auf Kosten der neuesten Überwachungsereignisse beibehalten. Verwenden Sie diese Option nur dann, wenn Sie keine Überwachungsdaten verlieren möchten, kein Archiv des Ereignisprotokolls erstellen möchten und bestrebt sind, die Daten zu überprüfen, bevor die maximale Protokollgröße erreicht ist.
Sie können die Größe des Überwachungsprotokolls sowie weitere wichtige Verwaltungsoptionen auch mit den Gruppenrichtlinieneinstellungen konfigurieren. Sie können die Ereignisprotokolleinstellungen an den folgenden Speicherorten in der GPMC konfigurieren: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\Sicherheit. Diese Optionen umfassen:
Maximale Protokollgröße (KB). Diese Richtlinieneinstellung gibt die maximale Größe von Protokolldateien an. Auf den Benutzeroberflächen im Editor für lokale Gruppenrichtlinien und in der Ereignisanzeige können Sie Werte von bis zu 2 TB eingeben. Wenn diese Einstellung nicht konfiguriert ist, weisen Ereignisprotokolle eine standardmäßige Größe von 20 MB auf.
Protokollzugriff. Mit dieser Richtlinieneinstellung wird ermittelt, welche Benutzerkonten über Zugriff auf die Protokolldateien verfügen und welche Verwendungsrechte gewährt werden.
Alte Ereignisse beibehalten. Mit dieser Richtlinieneinstellung wird das Ereignisprotokollverhalten gesteuert, wenn die Protokolldatei ihre Maximalgröße erreicht. Wenn diese Richtlinieneinstellung aktiviert ist und eine Protokolldatei ihre Maximalgröße erreicht, werden neue Ereignisse nicht ins Protokoll geschrieben und gehen folglich verloren. Wenn diese Richtlinieneinstellung deaktiviert ist und eine Protokolldatei ihre Maximalgröße erreicht, überschreiben die neuen Ereignisse die alten Ereignisse.
Volles Protokoll automatisch sichern. Mit dieser Richtlinieneinstellung wird das Protokollverhalten gesteuert, wenn die Protokolldatei ihre Maximalgröße erreicht. Sie wird zudem nur dann wirksam, wenn die Richtlinieneinstellung Alte Ereignisse beibehalten aktiviert ist. Wenn Sie diese Richtlinieneinstellungen aktivieren, wird die Ereignisprotokolldatei automatisch geschlossen und umbenannt, wenn sie voll ist. Anschließend wird eine neue Datei begonnen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die Richtlinieneinstellung Alte Ereignisse beibehalten aktiviert ist, werden neue Ereignisse verworfen, und die alten Ereignisse werden beibehalten.
Darüber hinaus müssen immer mehr Organisationen archivierte Protokolldateien für eine bestimmte Anzahl an Jahren speichern. Sie sollten den Beauftragten für die Erfüllung gesetzlicher Auflagen in Ihrer Organisation konsultieren, um zu bestimmen, ob solche Richtlinien für Ihre Organisation gelten. Weitere Informationen finden Sie im IT Compliance Management Guide.
Bereitstellen der Sicherheitsüberwachungsrichtlinie
Vor dem Bereitstellen der Überwachungsrichtlinie in einer Produktionsumgebung ist es wichtig, dass Sie die Auswirkungen der von Ihnen konfigurierten Richtlinieneinstellungen bestimmen.
Der erste Schritt hinsichtlich der Bewertung Ihrer Überwachungsrichtlinienbereitstellung besteht darin, dass Sie eine Testumgebung in einem Lab erstellen und sie verwenden, um die verschiedenen Verwendungsszenarien zu simulieren, die Sie ermitteln haben. Auf diese Weise stellen Sie sicher, dass die von Ihnen ausgewählten Überwachungseinstellungen richtig konfiguriert wurden und die gewünschten Ergebnistypen generieren. Weitere Informationen über das Einrichten einer Labumgebung für das Testen der Sicherheitsüberwachungsrichtlinie finden Sie unter Exemplarische Vorgehensweise – erweiterte Sicherheitsüberwachung.
Eine Labeinrichtung kann, sofern Sie keine relativ realistischen Simulationen von Netzwerkverwendungsmustern ausführen können, Ihnen jedoch keine exakten Informationen über den Umfang der Überwachungsdaten, die durch die von Ihnen ausgewählten Überwachungsrichtlinieneinstellungen generiert werden, und darüber bereitstellen, wie wirksam Ihr Plan für das Überwachen von Überwachungsdaten sein wird. Um diesen Informationstyp bereitzustellen, müssen Sie mindestens eine Pilotbereitstellung ausführen. Zu diesen Pilotbereitstellungen könnte Folgendes zählen:
Eine einzelne OU, die kritische Datenserver enthält, oder eine OU, die alle Desktopcomputer an einem angegebenen Ort enthält.
Ein begrenzter Satz an Sicherheitsüberwachungsrichtlinien-Einstellungen wie Anmelden/Abmelden und Kontoanmeldung.
Eine Kombination der begrenzten OUs und Überwachungsrichtlinieneinstellungen, beispielsweise das ausschließliche Abzielen auf Server in der Buchhaltungs-OU mit den Richtlinieneinstellungen vom Typ Objektzugriff.
Nachdem Sie eine oder mehrere begrenzte Bereitstellungen erfolgreich abgeschlossen haben, sollten Sie sicherstellen, dass die gesammelten Überwachungsdaten mit Ihren Verwaltungstools und von den Administratoren verwaltet werden können. Wenn Sie die Wirksamkeit der Pilotbereitstellung bestätigt haben, müssen Sie bestätigen, dass Sie über die erforderlichen Tools und Mitarbeiter verfügen, um Ihre Bereitstellung so zu erweitern, dass zusätzliche OUs und Sätze von Überwachungsrichtlinieneinstellungen einbezogen werden können, bis die Produktionsbereitstellung abgeschlossen ist.