Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.54 Protokollierung unter Windows NT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.54 Protokollierung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die für die Protokollierung sicherheitsrelevanter Ereignisse festgelegten Regelungen können mit Hilfe der Option "Richtlinien" des Benutzer-Managers umgesetzt werden, wobei für den normalen Schutzbedarf geeignete Regelungen im allgemeinen denen der folgenden Abbildung entsprechen:

Überwachungsrichtlinien

Abbildung: Überwachungsrichtlinien

Sofern auf einem Rechner Daten mit höheren Schutzanforderungen gespeichert und/oder verarbeitet werden, sollten zusätzlich noch erfolgreiche und abgewiesene Datei- und Objektzugriffe aufgezeichnet werden. Dabei sollte sich diese Aufzeichnung auf die Dateien, die besonders schutzwürdige Informationen enthalten, sowie auf die zur Verarbeitung dieser Dateien benötigten Programme beschränken, damit die Protokolldatei nicht so umfangreich wird, dass sie nicht mehr mit tragbarem Aufwand auswertbar ist.

Bei höheren Sicherheitsanforderungen sollten auch Zugriffe und Zugriffsversuche auf die Registrierung, zumindest für die Schlüssel HKEY_LOCAL_MACHINE und HKEY_USERS, aufgezeichnet werden. Dabei empfiehlt es sich, alle abgewiesenen Versuche aufzuzeichnen und von den erfolgreichen zumindest die folgenden, die zu Veränderungen der Registrierung führen können:

Registrierungsschlüsselüberwachung

Abbildung: Registrierungsschlüsselüberwachung

Dabei ist zu beachten, dass Zugriffe auf die Registrierung nur dann aufgezeichnet werden, wenn bei den allgemeinen Überwachungsrichtlinien die Überwachung der Datei- und Objektzugriffe aktiviert ist.

Bei der Überwachung der Zugriffe auf die Registrierung fallen erhebliche Mengen an Protokolldaten an, die auch ausgewertet werden müssen. Zudem wirkt sich die Protokollierung dieser Ereignisse u. U. negativ auf die Systemperformance aus. Es bietet sich unter Berücksichtigung der Sicherheitsanforderungen ggf. das folgende alternative Vorgehen an: Abgewiesene Zugriffsversuche auf die Schlüssel HKEY_LOCAL_MACHINE und HKEY_USERS werden so protokolliert, wie zuvor beschrieben. Die erfolgreichen Zugriffe auf diese Schlüssel werden nicht protokolliert. Vielmehr wird ein geeignetes Integritätssicherungsprogramm eingesetzt. So können Veränderungen an diesen Schlüsseln leicht erkannt werden. Der Nachteil dieser Methode ist aber, dass der Urheber von Veränderungen nicht erkannt werden kann.

Die Protokolldatei sollte durch Festlegung entsprechender Vorgaben mit dem Dienstprogramm Ereignisanzeige so groß angelegt werden, dass alle innerhalb eines vorgegebenen Zeitraums (beispielsweise in einer Woche) anfallenden Einträge mit Sicherheit abgespeichert werden können. Dabei sollte ein Sicherheitsspielraum vorgesehen werden, so dass in der Regel maximal nur etwa 30 % der Protokolldatei gefüllt werden. Nach Ablauf des vorgesehenen Zeitraums ist die Protokolldatei jeweils zu analysieren, zu archivieren und dann zu leeren, um Platz für neue Einträge zu schaffen.

Um Systemausfälle durch Vollschreiben der Protokolldatei zu vermeiden, sollte normalerweise eine der Optionen "Überschreiben falls notwendig" oder "Überschreiben älter als x Tage", wobei für x die Länge des vorgesehenen Archivierungszyklus, z. B. 30 Tage, angegeben wird, gewählt werden:

Ereignisanzeige - Einstellungen

Für Systeme, für die erhöhte Sicherheitsanforderungen bestehen, sollte statt dessen die Option "Nie überschreiben (Protokoll manuell löschen)" gewählt werden, was allerdings zum Systemstillstand bei Überlauf des Logs führt und dann einen entsprechenden Aufwand verursacht.

Die Auswertung der Protokolle erfolgt mit dem Verwaltungsprogramm Ereignisanzeige, das durch Auswahl geeigneter Filterregeln die gezielte Auswertung sicherheitskritischer Vorgänge ermöglicht:

Filter

Abbildung: Filter

Die Auswertung des Sicherheitsprotokolls sollte einer geeigneten, allgemein verbindlichen Vorgabe folgen (siehe M 2.64 Kontrolle der Protokolldateien und M 2.92 Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz).

Ergänzende Kontrollfragen: