Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 30 Sicherheit im verteilten Active Directory
  gp 30.1 Sicherheitsrisiken
  gp 30.2 Sicherheitskonzepte
  gp 30.3 Sicherheitsmaßnahmen
  gp 30.4 Überwachungsrichtlinien (Auditing)
  gp 30.5 Maßnahmen zur Reduzierung und Auswirkungen von sicherheitsrelevanten Vorfällen
  gp 30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
  gp 30.7 Tools für die Sicherheitskonfiguration und Sicherheitsüberwachung


Galileo Computing

30.4 Überwachungsrichtlinien (Auditing)  toptop

Motive für die Überwachung der Aktivitäten auf den Servern

Die Überwachung und Sicherheitsprotokollierung von Netzwerkaktivitäten sind wichtige Schutzvorkehrungen. Windows Server 2000/2003 ermöglicht die Überwachung unterschiedlicher Ereignisse, mit deren Hilfe die Aktivitäten eines Eindringlings verfolgt werden können. Die Einträge der Protokolldatei können als Beweismaterial herangezogen werden, wenn der Eindringling identifiziert ist.

Ereignisprotokolloptionen

Damit Ereignisse über einen geeignet langen Zeitraum überwacht werden können, müssen die Optionen der Ereignisprotokolle geeignet gesetzt werden. Dieses kann ebenfalls über eine Gruppenrichtlinie für alle Domänencontroller erfolgen, und zwar über Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Ereignisprotokoll · Einstellungen für Ereignisprotokoll.

Soweit genug Plattenplatz auf den Servern vorhanden ist, sollten ca. 10 bis 20 Megabyte für alle Ereignisprotokolle reserviert und die Einstellung getroffen werden, nach wie viel Tagen Ereignisprotokolle überschrieben werden dürfen. Es muss in regelmäßigen Abständen überprüft werden, ob die Ereignisse über einen geeignet langen Zeitraum (mindestens fünf Arbeitstage) protokolliert werden, bevor die Protokolldatei überschrieben wird.

Aktivierung der Serverüberwachung

Auf Servern sollten die Überwachungsrichtlinien mittels der Gruppenrichtlinien unter Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · lokale Einstellungen · Überwachungsrichtlinien konfiguriert werden. Mindestens fehlgeschlagene Zugriffsversuche sollten mitprotokolliert werden.

Damit die Überwachungsrichtlinien nicht für alle Server einzeln gesetzt werden müssen, sollten Servertypen in Organisationseinheiten zusammengefasst werden. Für die jeweilige Organisationseinheit kann dann eine Überwachungsrichtlinie erstellt werden.

Überwachung des Systems

Folgende Mindesteinstellungen sollten auf Domänencontrollern vorgenommen werden:

gp  Fehlgeschlagene Active-Directory-Zugriffe
gp  Fehlgeschlagene Anmeldeversuche
gp  Fehlgeschlagene Objektzugriffsversuche
gp  Fehlgeschlagene Versuche, Gruppenrichtlinien zu verändern
gp  Fehlgeschlagene Versuche, die Eigenschaften der Ereignisprotokollierung zu verändern

Abbildung
Hier klicken, um das Bild zu Vergrößern

Wenn es die Serverleistung zulässt, sollten alle oben angegebenen Ereignisse auf fehlgeschlagen und erfolgreich überprüft und mitprotokolliert werden. Diese Einstellungen sollten auch auf den Dateiservern vorgenommen werden.

Überwachung der Registrierdatenbank

Bei der Überprüfung der Registrierdatenbank auf unberechtigte Änderungen muss ebenfalls ein Kompromiss zwischen der Menge der möglichen Ereignisse, die überwacht werden können, und der Belastung des Computers durch die permanente Überwachung gefunden werden. Ebenso sollte das Ereignisprotokoll nicht von unwichtigen Meldungen überschwemmt und damit unübersichtlich werden, so dass wirkliche Eindringversuche in der Fülle der Meldungen nicht auffallen.

Besondere Beachtung verdienen Manipulationen an der Registrierdatenbank, die das System betreffen. Deshalb sollten mindestens folgende Unterschlüssel der Registrierdatenbank überwacht werden:

gp  HKEY_LOCAL_MACHINE\System
gp  HKEY_LOCAL_MACHINEW\Software
gp  HKEY_CLASSES_ROOT

Über die Gruppenrichtlinie Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Registrierung können diese Schlüssel zwecks Überwachung hinzugeladen werden. Dies sollte auf Domänencontrollern und Dateiservern geschehen. Die durch die Überwachung hinzukommende Systembelastung muss dabei kontrolliert werden.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Überwachung des Dateisystems

Windows Server bietet die Möglichkeit, Zugriffe auf Verzeichnisse oder auch auf einzelne Dateien zu überwachen. Auf allen Servern sollte mindestens der Zugriff auf wichtige Systemverzeichnisse überwacht werden. Bei Dateiservern kann in Absprache mit den Fachabteilungen zusätzlich der Zugriff auf sensible Anwendungsdaten überwacht werden. Die Überwachung kann auf jedem Server über den Explorer eingestellt werden. Um jedoch auf allen Servern eines Servertyps gleiche Einstellungen zu erzielen, sollte dies über eine Gruppenrichtlinie auf OU-Ebene erfolgen: Über die Gruppenrichtlinie Computerkonfiguration · Windows-Einstellungen · Sicherheitseinstellungen · Dateisystem können Ordner sowie die Art der Protokollierung angegeben werden. Speziell der Zugriff auf die Dateien der Registrierdatenbank und auch der Ereignisprotokolldateien selbst im Verzeichnis c:\winnt\system32\config sollte überwacht werden.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung
Hier klicken, um das Bild zu Vergrößern

Da sich die Konfiguration der Domänencontroller und Dateiserver nach ihrer Grundkonfiguration in der Regel nicht mehr ändert, kann jedoch auch das gesamte Betriebssystem unter %SystemRoot% und c:\Programme überwacht werden.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung
Hier klicken, um das Bild zu Vergrößern

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de