Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.365 Planung der Systemüberwachung unter Windows Server 2003 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.365 Planung der Systemüberwachung unter Windows Server 2003

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Revisor

Beim Betrieb von Windows Server 2003 werden vielfältige und umfangreiche Ereignisprotokolle erzeugt. Diese Protokolle dienen vorrangig dem Nachweis und der Aufrechterhaltung eines ordnungsgemäßen Betriebes, aber auch der Fehleranalyse. Sie sind oft auch Grundlage von Revisionen oder weiteren Auswertungen.

Aus den Inhalten der Protokolle ergeben sich Aufbewahrungsfristen und zu berücksichtigende datenschutzrechtliche Aspekte. Die Grundsätze zur Protokollierung sollten den gesetzlichen Anforderungen entsprechen und den Missbrauch von Protokolldaten sowie damit verbundene Gefährdungen und Risiken minimieren. (siehe M 5.9 Protokollierung am Server, M 2.64 Kontrolle der Protokolldateien, M 2.110 Datenschutzaspekte bei der Protokollierung).

Grundsätze der Überwachung und Protokollierung

Überwachungsrichtlinie

Auf Grundlage der Sicherheitsrichtlinie für den zu überwachenden Windows Server 2003 muss eine Überwachungsrichtlinie für den Server abgeleitet und umgesetzt werden. In der Überwachungsrichtlinie wird definiert, welche Ereignisse durch wen zu überwachen sind, welche Aktionen auf bestimmte

Ereignisse innerhalb einer festgelegten Reaktionszeit erfolgen müssen und wie mit den Protokolldaten umzugehen ist. Die bei Windows Server 2003 mitgelieferten Sicherheitsvorlagendateien befinden sich im Ordner %SystemRoot%\Security\Templates. Sie können mit der Managementkonsole MMC (Snap-In Sicherheitsvorlagen) eingesehen werden und dienen der Übersicht und Orientierung.

Welche Benutzer und Ereignisse überwacht werden sollen, wird im Gruppenrichtlinien-Snap-In festgelegt. Es sollte dokumentiert sein, ob und - wenn ja - aus welchem Grund zu folgenden Kategorien Erfolgs- und/oder Fehlerereignisse protokolliert werden:

Objektüberwachung

Für die Überwachung der Objektzugriffe (z. B. Dateien) ist zu beachten, dass diese sowohl in der Überwachungsrichtlinie des Servers als auch in den Eigenschaften der ausgewählten Objekte aktiviert sein muss. Zum Beispiel erlaubt Windows Server 2003 für Administratoren sowohl die Übernahme des Besitzes von Dateien als auch deren Übergabe an Dritte und damit auch an den ursprünglichen Besitzer. Dieser ist somit nur eingeschränkt in der Lage, eine solche Aktion zu erkennen. Deshalb sollten solche Ereignisse für überwachte Objekte zuverlässig ausgewertet werden.

Ereignisprotokolle

Mit der Ereignisanzeige können die Protokolle manuell eingesehen und verwaltet werden. Jeder einzelne Eintrag besitzt ergänzende Details und eine eindeutige Ereignis-ID, zu der ausführliche Beschreibungen existieren. Die Konfiguration der Ereignisanzeige muss definiert sein. Dazu sind die folgenden Aspekte zu beachten:

Instrumente zur Überwachung protokollierter Ereignisse

Protokolle können je nach Bedarf manuell (z. B. über die Ereignisanzeige), mittels benutzerdefinierter Skripte (z. B. Eventlg.pl, Eventquery.vbs), mit speziellen Werkzeugen (z. B. Dumpel.exe, Auditusr.exe, EventCombMT) oder mit vollautomatisierten Managementwerkzeugen (z. B. Microsoft Operations

Manager 2005, MOM 2005) ausgewertet werden. Darüber hinaus existieren auch Produkte von Drittanbietern.

Quellenhinweise:

 
Werkzeug  Quelle 
Eventlg.pl  Windows 2000 Resource Kit, Supplement 1 
Eventquery.vbs  Windows 2000 Resource Kit, Supplement 1 
Dumpel.exe  Windows 2000 Server Resource Kit, Supplement 1 
Auditusr.exe  Bestandteil Windows Server 2003 mit SP1 
EventCombMT  Microsoft Windows Server 2003 Resource Kit Tools 

Diese Produkte decken auch Anforderungen an eine Überwachung ab, welche mit den Bordmitteln eines Windows Server 2003 nicht ausreichend realisiert werden können. Dazu zählt z. B. die Benachrichtigung per SMTP, echtzeitnahe Reaktion auf Ereignisse oder ansatzweise eine forensische Analyse, zur Feststellung verdächtiger Vorfälle und Ermittlung der Verursacher.

Bei der Überwachung der Verfügbarkeit eines Windows Server 2003 oder seiner Dienste ist zu berücksichtigen, dass eine zuverlässige Überwachung und automatische Eskalation nur von einem unabhängigen Drittsystem gewährleistet werden kann.

Die Art der Überwachung sollte ebenfalls in der Überwachungsrichtlinie dokumentiert sein.

Dokumentation

Als Dokumentation dient die Überwachungsrichtlinie. Weiterhin sollten Sicherheitsvorlagen (.inf-Dateien) für die effektive Überwachungsrichtlinie des Windows-Server-2003 Systems erstellt werden. Bei zusätzlichen Tools sind die überwachten Objekte und die protokollierten Ereignis-Typen zu dokumentieren.

Ergänzende Kontrollfragen