Überwachung: Zugriff auf globale Systemobjekte prüfen
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Überwachung: Zugriff auf globale Systemobjekte prüfen beschrieben.
Referenzen
Wenn Sie diese Richtlinieneinstellung aktivieren, wird eine standardmäßige System-Zugriffssteuerungsliste (System Access Control List, SACL) angewendet, wenn das Gerät Systemobjekte wie Mutexe, Ereignisse, Semaphoren und MS-DOS®-Geräte erstellt. Wenn Sie zudem die Überwachungseinstellung Objektzugriffsversuche überwachen aktivieren, wird der Zugriff auf diese Systemobjekte überwacht.
Globale Systemobjekte, die auch als „Basissystemobjekte“ oder „"base System Object" oder „benannte Basisobjekte“ bezeichnet werden, sind temporäre Kernelobjekte, deren Namen ihnen von der Anwendung oder Systemkomponente zugewiesen wurde, die sie erstellt hat. Diese Objekte werden meist zum Synchronisieren mehrerer Anwendungen oder mehrerer Teile einer komplexen Anwendung verwendet. Da die Objekte Namen haben, stehen sie global zur Verfügung und sind für alle Prozesse auf dem Gerät sichtbar. Alle diese Objekte verfügen über eine Sicherheitsbeschreibung, haben aber in der Regel keine NULL SACL. Wenn Sie diese Richtlinieneinstellung aktivieren und sie beim Systemstart in Kraft tritt, weist der Kernel diesen Objekten bei der Erstellung eine SACL zu.
Bei einem global sichtbaren benannten Objekt besteht bei unzureichendem Schutz das Risiko, dass es von Schadsoftware manipuliert wird, die den Namen des Objekts kennt. Beispiel: Wenn ein Synchronisierungsobjekt wie etwa eine Mutex über eine mangelhafte besitzerverwaltete Zugriffssteuerungsliste (Discretionary Access Control List, DACL) verfügt, kann Schadsoftware anhand des Namens auf die Mutex zugreifen und bei dem Programm, mit dem die Mutex erstellt wurde, eine Fehlfunktion verursachen. Dieses Risiko ist jedoch äußerst gering.
Durch das Aktivieren dieser Richtlinieneinstellung kann ein große Anzahl von Sicherheitsereignissen generiert werden. Dies gilt insbesondere auf stark ausgelasteten Domänencontrollern und Anwendungsservern. Dies kann dazu führen, dass Server langsam reagieren und im Sicherheitsprotokoll zahlreiche unbedeutende Ereignisse aufgezeichnet werden. Bei der Überwachung des Zugriffs auf globale Systemobjekte können Sie nicht filtern, welche Ereignisse aufgezeichnet werden. Selbst wenn eine Organisation über Ressourcen zum Analysieren der aufgrund dieser Richtlinieneinstellung generierten Ereignisse verfügt, ist in den seltensten Fällen der Quellcode oder eine Beschreibung des Verwendungszwecks jedes benannten Objekts verfügbar. Daher ist diese Richtlinieneinstellung vermutlich nur für die wenigsten Organisationen von Nutzen.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Reduzieren Sie unter „Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien\Objektzugriff“ mithilfe der erweiterten Option der Sicherheitsüberwachungsrichtlinie Kernelobjekt überwachen die Anzahl der ohne Bezug generierten Überwachungsereignisse.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Ein Neustart des Computers ist erforderlich, damit diese Richtlinie wirksam wird, wenn Änderungen an dieser Richtlinie lokal gespeichert oder über eine Gruppenrichtlinie verteilt wurden.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Überwachung
Um Zugriffsversuche auf globale Systemobjekte zu überwachen, können Sie eine der beiden Einstellungen für Sicherheitsüberwachungsrichtlinien verwenden:
Kernelobjekt überwachen unter „Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien\Objektzugriff“
Objektzugriffsversuche überwachen unter „Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie
Verwenden Sie nach Möglichkeit die Option „Erweiterte Einstellungen für Sicherheitsüberwachungsrichtlinien“, um die Anzahl der ohne Bezug generierten Überwachungsereignisse zu reduzieren.
Wenn die Einstellung Kernelobjekt überwachen konfiguriert ist, werden die folgenden Ereignisse generiert:
| Ereignis-ID | Ereignismeldung |
|---|---|
4659 |
Ein Handle zu einem Objekt wurde angefordert mit der Absicht, es zu löschen. |
4660 |
Ein Objekt wurde gelöscht. |
4661 |
Ein Handle zu einem Objekt wurde angefordert. |
4663 |
Es wurde versucht, auf ein Objekt zuzugreifen. |
Wenn die Einstellung Kernelobjekt überwachen konfiguriert ist, werden die folgenden Ereignisse generiert:
| Ereignis-ID | Ereignismeldung |
|---|---|
560 |
Einem bereits vorhandenen Objekt wurde Zugriff gewährt. |
562 |
Ein Handle zu einem Objekt wurde geschlossen. |
563 |
Es wurde versucht, ein Objekt mit der Absicht zu öffnen, das Objekt zu löschen. HinweisDieses Ereignis wird von Dateisystemen verwendet, wenn in Createfile() das Flag FILE_DELETE_ON_CLOSE festgelegt wurde. |
564 |
Ein geschütztes Objekt wurde gelöscht. |
565 |
Einem bereits vorhandenen Objekt wurde Zugriff gewährt. |
567 |
Eine Berechtigung, die einem Handle zugeordnet ist, wurde verwendet. HinweisEs wird ein Handle mit bestimmten Berechtigungen (Lesen, Schreiben usw.) erstellt. Bei Verwendung des Handles wird für jede verwendete Berechtigung maximal ein Überwachungsvorgang generiert. |
569 |
Der Resource Manager im Autorisierungs-Manager hat versucht, einen Clientkontext zu erstellen. |
570 |
Ein Client hat versucht, auf ein Objekt zuzugreifen. HinweisEs wird für jeden Operationsversuch hinsichtlich des Objekts ein Ereignis generiert. |
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein global sichtbares, benanntes Objekt kann bei nicht ordnungsgemäßem Schutz von Schadsoftware mithilfe des Objektnamens manipuliert werden. Beispiel: Wenn ein Synchronisierungsobjekt wie etwa eine Mutex über eine mangelhafte besitzerverwaltete Zugriffssteuerungsliste (Discretionary Access Control List, DACL) verfügt, kann Schadsoftware anhand des Namens auf die Mutex zugreifen und bei dem Programm, mit dem die Mutex erstellt wurde, eine Fehlfunktion verursachen. Das Risiko eines solchen Ereignisses ist jedoch äußerst gering.
Gegenmaßnahme
Aktivieren Sie die Einstellung Überwachung: Zugriff auf globale Systemobjekte prüfen.
Mögliche Auswirkung
Wenn Sie die Einstellung Überwachung: Zugriff auf globale Systemobjekte prüfen aktivieren, kann eine große Anzahl von Sicherheitsereignissen generiert werden. Dies gilt insbesondere auf stark ausgelasteten Domänencontrollern und Anwendungsservern. Ein solches Ereignis kann dazu führen, dass Server langsam reagieren und im Sicherheitsprotokoll zahlreiche unbedeutende Ereignisse aufgezeichnet werden. Diese Richtlinieneinstellung kann lediglich aktiviert oder deaktiviert werden. Sie können mit dieser Einstellung nicht filtern, welche Ereignisse aufgezeichnet werden. Selbst wenn eine Organisation über Ressourcen zum Analysieren der aufgrund dieser Richtlinieneinstellung generierten Ereignisse verfügt, ist in den seltensten Fällen der Quellcode oder eine Beschreibung des Verwendungszwecks jedes benannten Objekts verfügbar. Daher ist diese Richtlinieneinstellung vermutlich nur für die wenigsten Organisationen von Nutzen.
Sie können die Anzahl der generierten Überwachungsereignisse mithilfe der erweiterten Überwachungsrichtlinie reduzieren.