Auf dieser SeiteModulübersichtZum Aufrechterhalten einer wirklich sicheren Umgebung genügt es nicht, einfach sichere Systeme einzurichten. Die Annahme, dass keine Attacken stattfinden oder die Verteidigungsmechanismen einen ausreichenden Schutz bieten, ist gefährlich. Sie müssen eine aktive Eindringungs- und Angriffsüberwachung implementieren, um die Sicherheit Ihrer Systeme langfristig zu gewährleisten. Die Überwachung von Eindringungsversuchen ist aus vielen Gründen wichtig. Dazu gehören: | • | Jede funktionsfähige Computerumgebung ist Attacken potenziell ausgesetzt. Unabhängig von der angewendeten Sicherheitsstufe besteht immer das Risiko von Attacken. | | • | Erfolgreichen Attacken geht häufig eine Serie fehlgeschlagener Attacken voraus. Wenn Sie Angriffsversuche nicht überwachen, können Eindringlinge nicht rechtzeitig erkannt werden. | | • | Im Fall einer erfolgreichen Attacke kann der Schaden umso besser eingedämmt werden, je früher die Attacke erkannt wird. | | • | Zur Wiederherstellung nach einer Attacke müssen Sie wissen, welche Art von Schaden dem System zugefügt wurde. | | • | Überwachung und Eindringungserkennung helfen Ihnen beim Ermitteln des Angreifers. | | • | Die Kombination von Überwachung und Eindringungserkennung ermöglicht Ihnen das Verknüpfen von Informationen und somit das Identifizieren von Angriffsmustern. | | • | Eine regelmäßige Überprüfung der Sicherheitsprotokolle trägt zur Identifizierung bekannter Sicherheitskonfigurationsprobleme bei, zum Beispiel falsche Berechtigungen oder zu lockere Kontosperrungseinstellungen. | | • | Nach der Aufdeckung einer Attacke kann Sie die Überwachung beim Ermitteln der gefährdeten Netzwerkressourcen unterstützen. |
In diesem Modul erfahren Sie, wie Sie Ihre Umgebung zum Erkennen und Verfolgen von Attacken überwachen. Dieses Modul enthält eine Einführung in die Eindringungsüberwachung und die Verwendung von Eindringungserkennungssystemen – spezielle Software zur Identifizierung von Verhaltensweisen, die auf Attacken hinweisen. Zielsetzung| • | Implementieren der Überwachung in Ihrer Organisation anhand der empfohlenen Vorgehensweisen | | • | Schützen der wichtigen Protokolldateien und Verhindern des Zugriffs von Angreifern auf Beweisinformationen | | • | Kombinieren von passiven und aktiven Erkennungsmethoden | | • | Identifizieren der zum Überwachen von Mitarbeitern erforderlichen Tools und Technologien und deren Verwendung im Überwachungsprozess |
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien: | • | Betriebssystem Microsoft Windows 2000 |
Verwendung dieses ModulsVerwenden Sie die Anweisungen in diesem Modul, um ein Überwachungssystem zur aktiven Erkennung von Eindringungs- und Angriffsversuchen zu implementieren. Ein solches System ermöglicht Ihnen ein frühzeitiges Einschreiten im Angriffsfall und reduziert die Auswirkungen einer Sicherheitsverletzung sowie das Risiko schwerwiegender Schäden für Ihre Organisation. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul: | • |
Lesen Sie das Modul "Reaktion auf Sicherheitsverletzungen in einer Windows 2000-Umgebung." |
ÜberwachungIn jeder sicheren Umgebung sollte eine aktive Eindringungs- und Angriffsüberwachung stattfinden. Es wäre widersinnig, sichere Systeme einzurichten und dann unter der Annahme, dass keine Attacken stattfinden, auf eine Überwachung zu verzichten. Als Teil der Gesamtsicherheitsstrategie sollten Sie die für Ihre Umgebung geeignete Überwachungsebene bestimmen. Die Überwachung dient zur Identifizierung erfolgreicher und fehlgeschlagener Attacken, die das Netzwerk oder bei der Risikoanalyse als wertvoll eingestufte Ressourcen gefährden. Beim Festlegen des Überwachungsumfangs sollten Sie bedenken, dass die Anzahl von generierten Ereignissen und die Schwierigkeit der Erkennung wichtiger Ereignisse mit dem Überwachungsumfang zunehmen. Wenn Sie sich für eine umfassende Überwachung entscheiden, sollten Sie die Verwendung zusätzlicher Tools zum Herausfiltern der wichtigeren Ereignisse in Erwägung ziehen, zum Beispiel Microsoft Operations Manager (MOM). Überwachungsereignisse können in zwei Kategorien unterteilt werden: erfolgreiche Ereignisse (Erfolg) und fehlgeschlagene Ereignisse (Fehler). Ein erfolgreiches Ereignis weist darauf hin, dass sich ein Benutzer erfolgreich Zugang zu einer Ressource verschafft hat, wohingegen ein fehlgeschlagenes Ereignis besagt, dass ein Zugriffsversuch unternommen wurde, aber nicht geglückt ist. Fehlgeschlagene Ereignisse sind bei der Verfolgung von Angriffsversuchen auf die Umgebung hilfreich, erfolgreiche Ereignisse sind jedoch schwieriger zu interpretieren. Die große Mehrzahl der erfolgreichen Überwachungsereignisse ist auf normale Aktivitäten zurückzuführen, und ein Angreifer, der sich Zugang zu einem System verschafft, erzeugt ebenfalls ein Erfolgsereignis. Häufig ist ein Ereignismuster genauso wichtig wie die Ereignisse selbst. Eine Serie von Fehlschlägen gefolgt von einem Erfolg kann zum Beispiel auf eine versuchte Attacke hinweisen, die möglicherweise erfolgreich war. Kombinieren Sie Überwachungsereignisse möglichst mit anderen Informationen über Ihre Benutzer. Wenn Benutzer in den Urlaub gehen, können Sie ihre Konten zum Beispiel für die Dauer des Urlaubs sperren und bei ihrer Rückkehr wieder aktivieren und überwachen. Aktivieren der ÜberwachungDie Überwachung wird über Gruppenrichtlinien auf der Ebene des Standorts, der Domäne, der Organisationseinheit (OU) oder des lokalen Computers aktiviert. Die Überwachungsrichtlinieneinstellungen finden Sie unter folgendem Pfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie Im Allgemeinen sollte die Überwachung auf einer hohe Ebene in der Microsoft Active Directory™-Verzeichnisdiensthierarchie implementiert werden, da dadurch die Konsistenz der Überwachungseinstellungen gewahrt wird. Contoso hat die Überwachung auf den Organisationseinheitsebenen "Mitgliedsserver" und "Domänencontroller" implementiert. Möglicherweise haben Sie bestimmte Server von der Domäne getrennt. Auf diesen Computern kann die Überwachung durch Bearbeiten der Gruppenrichtlinien für den lokalen Computer oder mit dem Dienstprogramm Auditpol.exe im Windows 2000 Server Resource Kit konfiguriert werden. Hinweis: Zum Zugreifen auf die Gruppenrichtlinien für einen lokalen Computer starten Sie die Microsoft Management Console (MMC), und fügen Sie dann das Gruppenrichtlinien-Snap-In hinzu. Dadurch werden im Snap-In die Daten des lokalen Computers angezeigt. Definieren von EreignisprotokolleinstellungenJedes durch die Überwachung generierte Ereignis wird in der Ereignisanzeige angezeigt. Legen Sie fest, wie Ereignisprotokolle die generierten Ereignisse speichern. Jede der Einstellungen kann direkt in der Ereignisanzeige oder in der Gruppenrichtlinie definiert werden. Für dieses Handbuch wurden Einstellungen für die Ereignisanzeige in der Gruppenrichtlinie definiert. Wenn Sie die Einstellungen für die Ereignisanzeige aus der Gruppenrichtlinie entfernen, können Sie diese stattdessen direkt in der Ereignisanzeige definieren. Zum Gewährleisten der Konsistenz der Einstellungen auf ähnlichen Computern wird jedoch empfohlen, die Einstellungen für die Ereignisanzeige in der Gruppenrichtlinie zu definieren. In der Umgebung von Contoso wurde die Option zum Herunterfahren der Systeme bei vollem Sicherheitsprotokoll nicht in der Gruppenrichtlinie konfiguriert. Stattdessen wurden die Systeme zum bedarfsabhängigen Überschreiben von Ereignisprotokollen konfiguriert. Zu überwachende EreignisseMicrosoft Windows 2000 enthält mehrere Überwachungskategorien für Sicherheitsereignisse. Beim Entwerfen der Überwachungsstrategie Ihrer Organisation müssen Sie entscheiden, ob die folgenden Kategorien von Sicherheitsereignissen überwacht werden sollen: | • | Anmeldeereignisse | | • | Anmeldeversuche | | • | Objektzugriffsereignisse | | • | Verzeichnisdienst-Zugriffsereignisse | | • | Rechteverwendungsereignisse | | • | Prozessverfolgungsereignisse | | • | Systemereignisse | | • | Richtlinienänderungsereignisse |
In den folgenden Abschnitten werden einige der allgemeineren Ereignis-IDs beschrieben, die bei Aktivierung der Überwachung für spezifische Kategorien angezeigt werden. Hinweis: Tools zum Suchen und Sammeln von Ereignisprotokollinformationen werden im Abschnitt Passive Erkennungsmethoden in diesem Modul behandelt. AnmeldeereignisseWenn Sie Anmeldeereignisse überwachen, wird bei jeder An- oder Abmeldung eines Benutzers an beziehungsweise von einem Computer ein Ereignis im Sicherheitsprotokoll des jeweiligen Computers generiert. Wenn ein Benutzer eine Verbindung mit einem Remoteserver herstellt, wird ebenfalls ein Anmeldeereignis im Sicherheitsprotokoll des Remoteservers generiert. Anmeldeereignisse werden beim Erstellen beziehungsweise Löschen der Anmeldesitzung und des Tokens erzeugt. Anmeldeereignisse eignen sich zum Verfolgen von interaktiven Anmeldeversuchen bei Servern oder zum Untersuchen von Attacken, die von einem bestimmten Computer aus gestartet wurden. Bei der Erfolgsüberwachung wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch erfolgreich ausgeführt wird. Bei der Fehlerüberwachung wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch fehlschlägt. Hinweis: Anmeldeereignisse beinhalten sowohl Computer- als auch Benutzeranmeldeereignisse. Wenn eine Netzwerkverbindung über einen Microsoft Windows NT- oder Windows 2000-basierten Computer hergestellt wird, werden für das Computerkonto und das Benutzerkonto separate Sicherheitsprotokolleinträge generiert. Das Verzeichnis von Windows 9x-basierten Computern enthält keine Computerkonten, und daher werden keine Computeranmeldeeinträge für Netzwerkanmeldeereignisse generiert. Die Erfolgs- und Fehlerüberwachung von Anmeldeereignissen ist in den Basisrichtlinien für Mitgliedsserver und Domänencontroller aktiviert. Daher können im Sicherheitsereignisprotokoll die folgenden Ereignis-IDs für interaktive Anmeldungen und Terminaldiensteanmeldungen an Computern, die Terminaldienste ausführen, angezeigt werden. Tabelle 1: Im Sicherheitsereignisprotokoll angezeigte Anmeldeereignisse 528 | Ein Benutzer hat sich erfolgreich bei einem Computer angemeldet. | 529 | Der Anmeldeversuch erfolgte mit einem unbekannten Benutzernamen oder mit einem bekannten Benutzernamen und einem falschen Kennwort. | 530 | Ein Benutzer hat versucht, sich außerhalb der zulässigen Anmeldezeiten mit dem Benutzerkonto anzumelden. | 531 | Ein Anmeldeversuch mit einem deaktivierten Konto wurde unternommen. | 532 | Ein Anmeldeversuch mit einem abgelaufenen Konto wurde unternommen. | 533 | Der Benutzer ist nicht zur Anmeldung an diesem Computer berechtigt. | 534 | Der Benutzer hat versucht, sich mit einem unzulässigen Anmeldetyp anzumelden, zum Beispiel interaktiv, Netzwerk, Batch, Dienst oder remote interaktiv. | 535 | Das Kennwort für das angegebene Konto ist abgelaufen. | 536 | Der Anmeldedienst ist nicht aktiv. | 537 | Der Anmeldeversuch ist aus anderen Gründen fehlgeschlagen. | 538 | Ein Benutzer hat sich abgemeldet. | 539 | Das Konto wurde beim Anmeldeversuch gesperrt. Dieses Ereignis kann auf eine fehlgeschlagene Kennwortattacke hinweisen, aufgrund derer das Konto gesperrt wurde. | 540 | Erfolgreiche Netzwerkanmeldung. Dieses Ereignis gibt an, dass ein Remotebenutzer über das Netzwerk erfolgreich eine Verbindung mit einer lokalen Ressource auf dem Server hergestellt hat und ein Token für den Netzwerkbenutzer generiert wurde. | 682 | Ein Benutzer hat erneut eine Verbindung mit einer getrennten Terminaldienstesitzung hergestellt. Dieses Ereignis besagt, dass eine Verbindung mit einer vorherigen Terminaldienstesitzung hergestellt wurde. | 683 | Ein Benutzer hat eine Terminaldienstesitzung getrennt, ohne sich abzumelden. Dieses Ereignis wird generiert, wenn ein Benutzer über das Netzwerk eine Verbindung mit einer Teminaldienstesitzung herstellt. Das Ereignis wird auf dem Terminalserver angezeigt. |
Die folgenden Sicherheitsereignisse können mithilfe von Anmeldeereigniseinträgen diagnostiziert werden: | • | Fehlgeschlagene lokale Anmeldeversuche
Die folgenden Ereignis-IDs zeigen fehlgeschlagene Anmeldeversuche an: 529, 530, 531, 532, 533, 534 und 537. Die Ereignisse 529 und 534 werden angezeigt, wenn ein Angreifer versucht, eine Benutzername-/Kennwortkombination für ein lokales Konto zu erraten und dieser Versuch fehlschlägt. Diese Ereignisse können jedoch auch auftreten, wenn ein Benutzer sein Kennwort vergisst oder das Netzwerk über Netzwerkumgebung durchsucht. In einer großen Umgebung kann die korrekte Interpretation dieser Ereignisse schwierig sein. Diese Muster sollten im Allgemeinen untersucht werden, wenn sie wiederholt auftreten und mit anderen ungewöhnlichen Faktoren zusammenfallen. Tritt nachts eine Reihe von Ereignissen mit der ID 529 gefolgt von einem Ereignis 528 auf, weist dies unter Umständen auf eine erfolgreiche Kennwortattacke (oder einen übermüdeten Administrator) hin. | | • | Kontomissbrauch
Die Ereignisse 530, 531, 532 und 533 können auf den Missbrauch eines Benutzerkontos hinweisen. Diese Ereignisse geben an, dass die Konto-/Kennwortkombination korrekt eingegeben wurde, die Anmeldung jedoch durch andere Beschränkungen verhindert wurde. Diese Ereignisse sollten möglichst untersucht werden, um festzustellen, ob ein Missbrauch vorliegt oder die aktuellen Beschränkungen geändert werden müssen. Möglicherweise muss zum Beispiel die Anmeldezeit von bestimmten Konten verlängert werden. | | • | Kontosperrungen
Ereignis 539 zeigt an, dass ein Konto gesperrt wurde. Dies kann auf eine fehlgeschlagene Kennwortattacke hinweisen. Sie sollten überprüfen, ob frühere Ereignisse 529 für dasselbe Benutzerkonto vorliegen, um das Muster der Anmeldeversuche aufzudecken. | | • | Terminaldiensteattacken
Terminaldienstesitzungen können in einem verbundenen Status zurückgelassen werden, in dem Prozesse auch nach Beendigung der Sitzung weiter ausgeführt werden können. Die Ereignis-ID 683 gibt an, dass sich ein Benutzer nicht von der Terminaldienstesitzung abgemeldet hat, und Ereignis-ID 682 steht für eine Verbindung mit einer zuvor getrennten Sitzung. |
Contoso überwacht eine Vielzahl von Anmeldeversuchsfehlern und Kontosperrungen. In der Umgebung dieser Organisation ist es nicht ungewöhnlich, dass Benutzer Terminaldienstesitzungen aus zulässigen Gründen getrennt lassen. KontoanmeldeereignisseWenn sich ein Benutzer an einer Domäne anmeldet, wird die Anmeldung auf einem Domänencontroller verarbeitet. Wenn Sie Kontoanmeldeversuche auf Domänencontrollern überwachen, wird dieser Anmeldeversuch auf dem für die Überprüfung des Kontos zuständigen Domänencontroller aufgezeichnet. Kontoanmeldeereignisse werden erstellt, wenn ein Authentifizierungspaket die Anmeldeinformationen eines Benutzers überprüft. Bei der Verwendung von Domänenanmeldeinformationen werden nur in den Ereignisprotokollen des Domänencontrollers Kontoanmeldeereignisse generiert. Werden lokale SAM-Datenbankanmeldeinformationen (SAM = Sicherheitskontenverwaltung) verwendet, werden die Kontenanmeldeereignisse im Sicherheitsereignisprotokoll des Servers erzeugt. Da das Kontenanmeldeereignis auf jedem gültigen Domänencontroller in der Domäne aufgezeichnet werden kann, müssen Sie die Sicherheitsprotokolle der Domänencontroller für die Analyse aller Kontoanmeldungen in der Domäne konsolidieren. Hinweis: Genau wie Anmeldeereignisse beinhalten Kontoanmeldeereignisse sowohl Computer- als auch Benutzeranmeldungeversuche. Die Erfolgs- und Fehlerüberwachung von Kontoanmeldeereignissen ist in den Basisrichtlinien für Mitgliedsserver und Domänencontroller aktiviert. Daher können die folgenden Ereignis-IDs für Netzwerkanmeldungen und die Terminaldiensteauthentifizierung angezeigt werden. Tabelle 2: Im Ereignisprotokoll angezeigte Kontoanmeldeereignisse 672 | Ein AS-Ticket (Authentifizierungsdienstticket) wurde erfolgreich ausgestellt und bestätigt. | 673 | Ein TGS-Ticket (Ticket, das einen Dienst genehmigt) wurde genehmigt. | 674 | Ein Sicherheitsprincipal hat ein AS-Ticket oder TGS-Ticket erneuert. | 675 | Die Vorbestätigung ist fehlgeschlagen. | 676 | Die Anforderung des Authentifizierungstickets ist fehlgeschlagen. | 677 | Ein TGS-Ticket wurde nicht genehmigt. | 678 | Ein Konto wurde erfolgreich einem Domänenkonto zugeordnet. | 680 | Identifiziert das für den erfolgreichen Anmeldeversuch verwendete Konto. Dieses Ereignis gibt auch das zum Authentifizieren des Kontos verwendete Authentifizierungspaket an. | 681 | Ein Anmeldeversuch mit einem Domänenkonto wurde unternommen. | 682 | Ein Benutzer hat erneut eine Verbindung mit einer getrennten Terminaldienstesitzung hergestellt. | 683 | Ein Benutzer hat eine Terminaldienstesitzung getrennt, ohne sich abzumelden. |
Für jedes dieser Ereignisse werden ausführliche Informationen zu jeder spezifischen Anmeldung im Ereignisprotokoll angezeigt. Die folgenden Sicherheitsereignisse können mithilfe von Kontoanmeldeereigniseinträgen diagnostiziert werden: | • | Fehlgeschlagene Domänenanmeldeversuche
Die Ereignis-IDs 675 und 677 zeigen fehlgeschlagene Anmeldeversuche bei der Domäne an. | | • | Zeitsynchronisierungsprobleme
Wenn die Zeit eines Clientcomputers um mehr als fünf Minuten (Standardeinstellung) von der Zeit des für die Authentifizierung verwendeten Domänencontrollers abweicht, wird die Ereignis-ID 675 im Sicherheitsprotokoll angezeigt. | | • | Terminaldiensteattacken
Terminaldienstesitzungen können in einem verbundenen Status zurückgelassen werden, in dem Prozesse auch nach Beendigung der Terminalserversitzung weiter ausgeführt werden können. Die Ereignis-ID 683 gibt an, dass sich ein Benutzer nicht von der Terminaldienstesitzung abgemeldet hat, und Ereignis-ID 682 steht für eine Verbindung mit einer zuvor getrennten Sitzung. Zum Verhindern der Trennung oder Beenden dieser getrennten Sitzungen definieren Sie in der Konsole Terminaldienstekonfiguration in den Eigenschaften des RDP-TCP-Protokolls das Zeitintervall zum Beenden von getrennten Sitzungen. |
Contoso überwacht zurzeit ungewöhnliche Häufungen von fehlgeschlagenen Domänenanmeldeversuchen. In der Umgebung dieser Organisation sind andere Ereignisse nicht relevant. Beim Konfigurieren dieser Einstellungen entschied sich Contoso, mit einer relativ strikten Einstellung zu beginnen und diese Einstellung nach und nach zu reduzieren, bis die Anzahl von Fehlalarmen (falsche positive Warnungen) abnimmt. Zurzeit werden alle Situationen überwacht, in denen innerhalb von 10 Minuten 10 fehlgeschlagene Anmeldeversuche auftreten. Diese Zahlen können von Umgebung zu Umgebung variieren. KontenverwaltungDie Überwachung der Kontenverwaltung dient zum Erfassen der Erstellung, Änderung und Löschung von Benutzern oder Gruppen. Mithilfe dieser Überwachung kann festgestellt werden, wann ein Sicherheitsprincipal erstellt wurde und von wem diese Aufgabe ausgeführt wurde. Die Erfolgs- und Fehlerüberwachung der Kontenverwaltung ist in den Basisrichtlinien für Mitgliedsserver und Domänencontroller aktiviert. Daher können die folgenden Ereignis-IDs im Sicherheitsprotokoll angezeigt werden. Tabelle 3: Im Ereignisprotokoll angezeigte Kontenverwaltungsereignisse 624 | Erstellung eines Benutzerkontos | 625 | Änderung eines Benutzerkontentyps | 626 | Aktivierung eines Benutzerkontos | 627 | Kennwortänderungsversuch | 628 | Festlegen eines Benutzerkontokennworts | 629 | Deaktivierung eines Benutzerkontos | 630 | Löschung eines Benutzerkontos | 631 | Erstellung einer globalen Gruppe mit aktivierter Sicherheit | 632 | Hinzufügen eines globalen Gruppenmitglieds mit aktivierter Sicherheit | 633 | Entfernen eines globalen Gruppenmitglieds mit aktivierter Sicherheit | 634 | Löschung einer globalen Gruppe mit aktivierter Sicherheit | 635 | Erstellung einer lokalen Gruppe mit deaktivierter Sicherheit | 636 | Hinzufügen eines lokalen Gruppenmitglieds mit aktivierter Sicherheit | 637 | Entfernen eines lokalen Gruppenmitglieds mit aktivierter Sicherheit | 638 | Löschung einer lokalen Gruppe mit aktivierter Sicherheit | 639 | Änderung einer lokalen Gruppe mit aktivierter Sicherheit | 641 | Änderung einer globalen Gruppe mit aktivierter Sicherheit | 642 | Änderung eines Benutzerkontos | 643 | Änderung einer Domänenrichtlinie | 644 | Sperrung eines Benutzerkontos |
Die folgenden Kontenverwaltungsereignisse können mithilfe von Sicherheitsprotokolleinträgen diagnostiziert werden: | • |
Erstellung eines Benutzerkontos
Die Ereignis-IDs 624 und 626 identifizieren die Erstellung und Aktivierung von Benutzerkonten. Wenn die Kontoerstellung auf bestimmte Personen in der Organisation beschränkt ist, können Sie mithilfe dieser Ereignisse feststellen, ob nicht autorisierte Benutzer Benutzerkonten erstellt haben. | | • | Änderung des Kennworts für ein Benutzerkonto
Wenn ein Kennwort durch einen anderen Benutzer als den Kontobesitzer geändert wird, kann dies bedeuten, dass ein Konto von einem anderen Benutzer übernommen wurde. Überprüfen Sie, ob Ereignisse mit den IDs 627 und 628 vorhanden sind. Diese Ereignisse zeigen erfolgreiche Kennwortänderungen an. Überprüfen Sie anhand der Ereignisdetails, ob die Änderung von einem anderen Konto vorgenommen wurde und ob das Konto ein Mitglied des Helpdesks oder eines anderen zum Zurücksetzen von Benutzerkontokennwörtern berechtigten Serviceteams ist. | | • | Änderung des Benutzerkontostatus
Ein Angreifer kann versuchen, seine Spuren zu verwischen, indem er das während einer Attacke verwendete Konto deaktiviert oder löscht. Untersuchen Sie alle Vorkommen der Ereignis-IDs 629 und 630, um sicherzustellen, dass es sich um autorisierte Transaktionen handelt. Überprüfen Sie auch, ob ein Ereignis 626 mit einem kurz danach folgenden Ereignis 629 vorliegt. Dies kann darauf hinweisen, dass ein deaktiviertes Konto aktiviert, verwendet und dann wieder deaktiviert wurde. | | • | Änderung von Sicherheitsgruppen
Änderungen der Mitgliedschaft der Domänenadministratorgruppe, Administratorgruppe, anderer Operatorgruppen oder angepasster globaler, universeller oder lokaler Gruppen in Domänen mit delegierten Verwaltungsfunktionen sollten überprüft werden. Überprüfen Sie für Änderungen der Mitgliedschaft in globalen Gruppen, ob Ereignisse mit den IDs 632 und 633 vorliegen. Suchen Sie für Änderungen der Mitgliedschaft in lokalen Gruppen in Domänen nach den Ereignis-IDs 636 und 637. | | • |
Kontosperrung
Wenn ein Konto gesperrt wird, werden zwei Ereignisse im PDC-Emulationsbetriebsmaster (PDC = primärer Domänencontroller) protokolliert. Ein Ereignis 644 gibt an, dass der Kontoname gesperrt wurde, und ein anschließend erfasstes Ereignis 642 besagt, dass das Benutzerkonto zur Anzeige des Sperrungsstatus geändert wurde. Dieses Ereignis wird nur in der PDC-Emulation protokolliert. |
Da Contoso ein recht großes Unternehmen ist, muss täglich eine umfangreiche Kontenverwaltung durchgeführt werden. Die Überwachung all dieser Ereignisse würde zu mehr Warnungen führen als in der Umgebung bearbeitet beziehungsweise überprüft werden können. ObjektzugriffDie Überwachung kann für alle Objekte in einem Windows 2000-basierten Netzwerk mit einer Systemzugriffssteuerungsliste (SACL) aktiviert werden. Eine SACL enthält eine Liste von Benutzern und Gruppen, für die an Objekten durchgeführte Aktionen überwacht werden sollen. In Windows 2000 verfügt nahezu jedes vom Benutzer manipulierbare Objekt über eine SACL. Hierzu zählen Dateien und Ordner in NTFS-Dateisystemlaufwerken, Drucker und Registrierungsschlüssel. Eine SACL besteht aus Zugriffssteuerungseinträgen (ACEs). Jeder ACE enthält drei Informationen: | • | Den zu überwachenden Sicherheitsprincipal | | • | Die zu überwachenden Zugriffstypen (bezeichnet als Zugriffsmaske) | | • | Ein Flag, das angibt, ob fehlgeschlagene Zugriffsereignisse, erfolgreiche Zugriffsereignisse oder beide Ereignistypen überwacht werden sollen |
Wenn diese Ereignisse im Sicherheitsprotokoll erfasst werden sollen, müssen Sie zunächst Objektzugriffsversuche überwachen aktivieren und anschließend die SACL für jedes zu überwachende Objekt definieren. In Windows 2000 werden Überwachungen generiert, wenn ein Handle zu einem Objekt geöffnet wird. Windows 2000 verwendet ein Kernelmodus-Sicherheitssubsystem, das Programmen den Zugriff auf Objekte nur über den Kernel erlaubt. Dadurch wird verhindert, dass Programme versuchen, das Sicherheitssystem zu umgehen. Da der Kernelspeicherbereich von Benutzermodusprogrammen isoliert ist, verweist ein Programm über eine als Handle bezeichnete Datenstruktur auf ein Objekt. Ein typischer Zugriffsversuch läuft folgendermaßen ab: 1. | Ein Benutzer weist ein Programm an, auf ein Objekt zuzugreifen (zum Beispiel über Datei/Öffnen). | 2. | Das Programm fordert unter Angabe des gewünschten Zugriffstyps (Lesen, Schreiben usw.) ein Handle vom System an. | 3. | Das Sicherheitssubsystem vergleicht die wahlfreie Zugriffssteuerungsliste (DACL) des angeforderten Objekts mit dem Token des Benutzers. Dabei sucht es nach Einträgen in der DACL, die mit dem Benutzer oder einer dem Benutzer zugeordneten Gruppe mit den vom Programm angeforderten Zugriffsrechten übereinstimmen. | 4. | Das System vergleicht die SACL des angeforderten Objekts mit dem Token des Benutzers und sucht nach Einträgen in der SACL, die mit den an das Programm zurückgegebenen effektiven Rechten oder den vom Programm angeforderten Rechten übereinstimmen. Wird durch einen übereinstimmenden Fehlerüberwachungs-ACE ein nicht angeforderter aber gewährter Zugriffstyp zugeordnet, wird ein Fehlerüberwachungsereignis generiert. Wird durch einen übereinstimmenden Erfolgsüberwachungs-ACE ein gewährter Zugriffstyp zugeordnet, wird ein Erfolgsüberwachungsereignis generiert. | 5. | Wird ein Zugriffstyp gewährt, gibt das System ein Handle an das Programm zurück, das dann für den Zugriff auf das Objekt verwendet werden kann. |
Beachten Sie, dass das Objekt zum Zeitpunkt der Überwachung und Generierung des Ereignisses noch nicht manipuliert wurde. Dies ist wichtig für die Interpretation von Überwachungsereignissen. Schreibeinträge werden generiert, bevor in eine Datei geschrieben wird, und Leseeinträge werden vor dem Lesen einer Datei erzeugt. Wie bei allen Überwachungsprozessen ist die Verwendung eines zielgerichteten Ansatzes für die Überwachung des Objektzugriffs sehr wichtig. Legen Sie in Ihrem Überwachungsplan die zu überwachenden Objekttypen fest, und definieren Sie dann die für jeden Objekttyp zu protokollierenden Zugriffstypen (Erfolg, Fehler oder beides). Ein zu weitgefasster Überwachungsansatz wirkt sich erheblich auf die Systemleistung aus, und es werden mehr Daten gesammelt als erforderlich oder nützlich sind. In den meisten Fällen soll der gesamte Zugriff auf die ausgewählten Objekte überwacht werden, einschließlich des Zugriffs über nicht vertraute Konten. Hierzu fügen Sie der SACL für die zu überwachenden Objekte die Gruppe Jeder hinzu. Bedenken Sie bei der Erfolgsüberwachung des Objektzugriffs, dass dies zu einer sehr großen Anzahl von Überwachungseinträgen im Sicherheitsprotokoll führen kann. Wenn Sie jedoch zum Beispiel die Löschung einer wichtigen Datei untersuchen, benötigen Sie Erfolgsüberwachungsereignisse, um festzustellen, welcher Benutzer die Datei gelöscht hat. Die Basisrichtlinien für Mitgliedsserver und Domänencontroller sind zur Erfolgs- und Fehlerüberwachung des Objektzugriffs konfiguriert. Für die Objekte selbst sind jedoch keine SACLs definiert, und Sie müssen diese entsprechend den Anforderungen Ihrer Umgebung einrichten. Die SACLs können direkt in den Objekten oder mithilfe von Gruppenrichtlinien definiert werden. Wenn das zu überwachende Objekt auf mehreren Computern vorhanden ist, sollten Sie die SACLs in Gruppenrichtlinien definieren. Die Überwachung des Objektzugriffs führt zur Anzeige der folgenden Ereignisse im Sicherheitsprotokoll. Tabelle 4: Im Ereignisprotokoll angezeigte Objektzugriffsereignisse 560 | Der Zugriff auf ein bereits vorhandenes Objekt wurde gewährt. | 562 | Ein Handle zu einem Objekt wurde geschlossen. | 563 | Es wurde versucht, ein Objekt zu öffnen mit der Absicht dieses zu löschen. (Dieses Ereignis wird von Dateisystemen verwendet, wenn das Flag FILE_DELETE_ON_CLOSE definiert ist.) | 564 | Ein geschütztes Objekt wurde gelöscht. | 565 | Der Zugriff auf einen bereits vorhandenen Objekttyp wurde gewährt. |
Wenn Sie nach bestimmten Objektzugriffsereignissen suchen, sind in erster Linie Ereignisse mit der ID 560 von Interesse. Die wichtigen Informationen sind in den Ereignisdetails enthalten, und Sie müssen die Details durchsuchen, um spezifische Ereignisse ausfindig zu machen. Die folgende Tabelle enthält einige Aktionen, die Sie zu diesem Zweck gegebenenfalls ausführen müssen, und entsprechende Anweisungen. Tabelle 5: Ausführung von wichtigen Überwachungsaktionen für das Objektzugriffsereignis 560 Nach einer bestimmten Datei, einem Ordner oder einem Objekt suchen | Suchen Sie in den Details für das Ereignis 560 nach dem vollständigen Pfad der Datei oder des Ordners, für die beziehungsweise den Sie Aktionen überprüfen möchten. | Von einem bestimmten Benutzer ausgeführte Aktionen feststellen | Definieren Sie einen Filter, der den jeweiligen Benutzer in einem Ereignis 560 identifiziert. | Auf einem bestimmten Computer ausgeführte Aktionen feststellen | Definieren Sie einen Filter zur Identifizierung des Computerkontos, mit dem die in einem Ereignis 560 angegebene Task ausgeführt wurde. |
Contoso überwacht keine speziellen Objektzugriffsereignisse, der Objektzugriff auf einige Dateien wird jedoch überwacht. Diese Informationen können bei der Reaktion auf eine Sicherheitsverletzung sehr hilfreich sein. VerzeichnisdienstzugriffActive Directory-Objekten sind SACLs zugeordnet, und sie können überwacht werden. Wie zuvor bereits erwähnt werden Active Directory-Benutzer- und -Gruppenkonten durch eine Überwachung der Kontenverwaltung überwacht. Wenn Sie jedoch die Änderung von Objekten in anderen Namenskontexten überwachen möchten, zum Beispiel Konfigurations- und Schemanamenskontexte, müssen Sie die Objektzugriffsüberwachung aktivieren, und anschließend müssen Sie die SACL für die spezifischen zu überwachenden Container definieren. Überwachungseinträge werden generiert, wenn in der SACL eines Active Directory-Objekts aufgelistete Benutzer versuchen, auf dieses Objekt zuzugreifen. Sie können die SACL für Container und Objekte im Konfigurationsnamenskontext (und anderen Namenskontexten) mit dem MMC-Snap-In ADSIEDIT ändern. Hierzu zeigen Sie den erforderlichen Kontext in der ADSIEDIT-Konsole an, und anschließend ändern Sie die SACL für das Objekt im Dialogfeld Erweiterte Sicherheitseinstellungen. Die Suche nach spezifischen Ereignissen für den Verzeichnisdienstzugriff ist aufgrund der großen Anzahl von (meist harmlosen) Ereignissen sehr schwierig. Aus diesem Grund ist in den Basisrichtlinien für Mitgliedsserver und Domänencontroller nur die Fehlerereignisüberwachung für den Verzeichnisdienstzugriff konfiguriert. Auf diese Weise können Sie nicht autorisierte Zugriffsversuche von Angreifern auf Active Directory identifizieren. Ein versuchter Verzeichniszugriff wird als Verzeichnisdienstereignis mit der ID 565 im Sicherheitsprotokoll angezeigt. Das vom Ereignis betroffene Objekt kann nur durch Überprüfen der Sicherheitsereignisdetails ermittelt werden. Contoso überwacht keine speziellen Verzeichnisdienst-Zugriffsereignisse, der Objektzugriff auf einige Dateien wird jedoch überwacht. Diese Informationen können bei der Reaktion auf eine Sicherheitsverletzung sehr hilfreich sein. RechteverwendungBenutzer können bei der Arbeit in einer IT-Umgebung definierte Benutzerrechte ausüben. Wenn Sie für die Rechteverwendung die Erfolgs- und Fehlerüberwachung konfigurieren, wird jedes Mal ein Ereignis generiert, wenn ein Benutzer versucht, ein Recht auszuüben. Selbst wenn Sie die Rechteverwendung überwachen, werden nicht alle Benutzerrechte überwacht. Die folgenden Benutzerrechte sind standardmäßig von der Überwachung ausgeschlossen: | • | Auslassen der durchsuchenden Überprüfung | | • | Debuggen von Programmen | | • | Erstellen eines Tokenobjekts | | • | Ersetzen eines Prozessebenentokens | | • | Generieren von Sicherheitsüberwachungen | | • | Sichern von Dateien und Verzeichnissen | | • | Wiederherstellen von Dateien und Verzeichnissen |
Sie können das Standardverhalten (keine Überwachung der Sicherungs- und Wiederherstellungsrechte) außer Kraft setzen, indem Sie in der Gruppenrichtlinie die Sicherheitsoption Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen aktivieren. Die Erfolgsüberwachung der Rechteverwendung führt zu einer sehr großen Anzahl von Einträgen im Sicherheitsprotokoll. Aus diesem Grund ist in den Basisrichtlinien für Mitgliedsserver und Domänencontroller nur die Fehlerüberwachung für die Rechteverwendung konfiguriert. Die folgenden Ereignisse werden generiert, wenn die Überwachung der Rechteverwendung aktiviert ist. Tabelle 6: Im Ereignisprotokoll angezeigte Rechteverwendungsereignisse 576 | Die angegebenen Rechte wurden dem Zugriffstoken eines Benutzers hinzugefügt. (Dieses Ereignis wird generiert, wenn sich der Benutzer anmeldet.) | 577 | Ein Benutzer hat versucht, eine privilegierte Systemdienstoperation auszuführen. | 578 | Für ein bereits geöffnetes geschütztes Objekt wurden Rechte verwendet. |
Im Folgenden sehen Sie einige Beispiel-Ereignisprotokolleinträge, die bei der Verwendung bestimmter Benutzerrechte aufgezeichnet werden: | • | Einsetzen als Teil des Betriebssystems
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTcbPrivilege. Das Benutzerkonto, von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf hinweisen, dass ein Benutzer versucht hat, seine Sicherheitsrechte zu erhöhen, indem er als Teil des Betriebssystems handelt. Ein Beispiel hierfür ist die GetAdmin-Attacke, bei der ein Benutzer versucht, sein Konto der Administratorgruppe hinzuzufügen und deren Rechte zu nutzen. Einträge für dieses Ereignis sollten einzig das Systemkonto und Dienstkonten mit diesem Benutzerrecht betreffen. | | • | Systemzeit ändern
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeSystemtimePrivilege. Das Benutzerkonto, von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf hinweisen, dass ein Benutzer versucht hat, durch eine Änderung der Systemzeit den tatsächlichen Zeitpunkt eines Ereignisses zu vertuschen. | | • | Erzwingen des Herunterfahrens von einem Remotesystem aus
Suchen Sie nach den Ereignis-IDs 577 und 578 mit dem Benutzerzugriffsrecht SeRemoteShutdownPrivilege. Die spezifische Sicherheitskennung (SID), der das Benutzerrecht zugewiesen ist, und der Benutzername des zugehörigen Sicherheitsprincipals sind in den Ereignisdetails enthalten. | | • | Laden und Entfernen von Gerätetreibern
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeLoadDriverPrivilege. Das Benutzerkonto, von dem dieses Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf hinweisen, dass ein Benutzer versucht hat, eine nicht autorisierte Version eines Gerätetreibers oder eine Version mit einem Trojanischen Pferd (Form von böswilligem Code) zu downloaden. | | • | Verwalten von Überwachungs- und Sicherheitsprotokoll
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeSecurityPrivilege. Das Benutzerkonto, von dem dieses Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis tritt auf, wenn das Ereignisprotokoll gelöscht wird und wenn Ereignisse für die Rechteverwendung in das Sicherheitsprotokoll geschrieben werden. | | • | System herunterfahren
Suchen Sie nach der Ereignis-ID 577 mit dem Zugriffsrecht SeShutdownPrivilege. Das Benutzerkonto, von dem dieses Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis tritt auf, wenn ein Benutzer versucht, den Computer herunterzufahren. | | • | Übernehmen des Besitzes an Dateien und Objekten
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTakeOwnershipPrivilege. Das Benutzerkonto, von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf hinweisen, dass ein Angreifer versucht, die aktuellen Sicherheitseinstellungen zu umgehen, indem er den Besitz an einem Objekt übernimmt. |
Contoso überwacht speziell Ereignisse, die ein normales Herunterfahren oder erzwungenes Herunterfahren von einem Remotesystem anzeigen, sowie alle Ereignisse zu Änderungen des Überwachungs- und Sicherheitsprotokolls. ProzessverfolgungWenn Sie detaillierte Verfolgungsinformationen für auf Windows 2000-basierten Computern ausgeführte Prozesse erfassen, werden im Ereignisprotokoll Prozesserstellungs- und Prozessbeendigungsversuche angezeigt. Zudem wird ein Ereignis aufgezeichnet, wenn ein Prozess versucht, ein Handle zu einem Objekt zu generieren oder indirekten Zugriff auf ein Objekt zu erhalten. Aufgrund der sehr großen Anzahl von erstellten Überwachungseinträgen ist die Überwachung der Prozessverfolgung in den Basisrichtlinien für Mitgliedsserver und Domänencontroller nicht aktiviert. Wenn Sie jedoch eine Erfolgs- und Fehlerüberwachung ausführen, werden die folgenden Ereignis-IDs im Ereignisprotokoll aufgezeichnet. Tabelle 7: Im Ereignisprotokoll angezeigte Prozessverfolgungsereignisse 592 | Ein neuer Vorgang wurde erstellt. | 593 | Ein Vorgang wurde beendet. | 594 | Ein Handle zu einem Objekt wurde dupliziert. | 595 | Indirekter Zugriff auf ein Objekt war erfolgreich. |
Contoso überwacht keine Prozessverfolgungsereignisse und hat diese Option nicht in den Serverrichtlinien aktiviert. SystemereignisseSystemereignisse werden generiert, wenn ein Benutzer oder Prozess Aspekte der Computerumgebung ändert. Sie können versuchte Systemänderungen überwachen, zum Beispiel das Herunterfahren des Computers oder Ändern der Systemzeit. Wenn Sie Systemereignisse überwachen, sollten Sie auch das Löschen des Sicherheitsprotokolls überwachen. Dies ist sehr wichtig, da Angreifer nach dem Ändern einer Umgebung häufig versuchen, ihre Spuren zu verwischen. In den Basisrichtlinien für Mitgliedsserver und Domänencontroller ist die Erfolgs- und Fehlerüberwachung von Systemereignissen konfiguriert. Diese Überwachung führt zu den folgenden Ereignis-IDs im Ereignisprotokoll. Tabelle 8: Im Ereignisprotokoll angezeigte Systemereignisse 512 | Windows wird gestartet. | 513 | Windows wird heruntergefahren. | 514 | Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. | 515 | Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert. | 516 | Die für die Warteschlangenverarbeitung von Sicherheitsereignismeldungen reservierten internen Ressourcen sind ausgelastet. Dies kann zu einem Verlust von Sicherheitsereignismeldungen führen. | 517 | Das Sicherheitsprotokoll wurde gelöscht. | 518 | Die Sicherheitskontenverwaltung hat ein Benachrichtigungspaket geladen. |
Mithilfe dieser Ereignis-IDs kann eine Reihe von Sicherheitsproblemen aufgedeckt werden: | • | Herunterfahren/Neustart eines Computers
Ereignis-ID 513 zeigt jedes Herunterfahren von Windows an. Die Information, wann Server heruntergefahren oder neu gestartet wurden, ist wichtig. Für diese Ereignisse sind zahlreiche legitimierte Gründe denkbar, zum Beispiel der Neustart nach dem Installieren eines Treibers oder einer Anwendung oder das Herunterfahren oder Neustarten eines Servers zu Wartungszwecken. Ein Angreifer kann jedoch auch einen Neustart eines Servers erzwingen, um während des Starts Zugriff auf das System zu erhalten. Das Herunterfahren des Computers sollte immer zum Vergleich mit dem Ereignisprotokoll aufgezeichnet werden. Viele Attacken beinhalten den Neustart eines Computers. Durch eine Untersuchung der Ereignisprotokolle können Sie feststellen, wann ein Server neu gestartet wurde und ob der Neustart geplant war. Die Ereignis-ID 513 zeigt den Start von Windows an. Systemstarts werden auch durch eine Reihe anderer automatisch im Systemprotokoll generierter Ereignisse angezeigt. Hierzu zählt die Ereignis-ID 6005, die den Start des Ereignisprotokolldienstes anzeigt. Neben diesem Eintrag sollten Sie überprüfen, ob das Systemprotokoll einen von zwei unterschiedlichen Ereigniseinträgen enthält. Wenn der vorhergehende Herunterfahrvorgang berechtigt war, zum Beispiel wenn ein Administrator den Computer neu startet, wird die Ereignis-ID 6006 Der Ereignisprotokolldienst wurde beendet im Systemprotokoll aufgezeichnet. Durch eine Untersuchung der Eintragsdetails können Sie feststellen, welcher Benutzer den Computer heruntergefahren hat. Handelt es sich bei dem Neustart um einen unerwarteten Neustart, wird die Ereignis-ID 6008 Das System wurde zuvor am <Datum> um <Uhrzeit> unerwartet heruntergefahren im Systemprotokoll aufgezeichnet. Dies kann auf eine DoS-Attacke (Dienstverweigerung) hinweisen, die zum Herunterfahren des Computers geführt hat. Bedenken Sie jedoch, dass die Ursache auch ein Stromausfall oder der Ausfall eines Gerätetreibers sein kann. Wenn der Neustart aufgrund eines Abbruchfehlers (Bluescreen) erfolgte, wird die Ereignis-ID 1001 mit der Quelle der Abbildsicherung im Systemprotokoll aufgezeichnet. Die Abbruchfehlermeldung können Sie den Ereignisdetails entnehmen. Hinweis: Wenn Sie Einträge mit der Ereignis-ID 1001 aufzeichnen möchten, müssen Sie das Kontrollkästchen Ereignis in das Systemprotokoll eintragen aktivieren, um die Wiederherstellungseinstellungen der Systemsteuerung zu aktivieren. | | • | Ändern oder Löschen des Sicherheitsprotokolls
Ein Angreifer kann versuchen, die Sicherheitsprotokolle zu ändern, die Überwachung zu deaktivieren oder das Sicherheitsprotokoll zu löschen, damit er nicht erkannt wird. Wenn Sie im Sicherheitsprotokoll lange Zeitabschnitte ohne Einträge bemerken, sollten Sie in den Ereignis-IDs 612 und 517 überprüfen, welcher Benutzer die Überwachungsrichtlinie geändert hat. Alle Vorkommen der Ereignis-ID 517 sollten mit einem physikalischen Protokoll über alle Löschungen des Sicherheitsprotokolls verglichen werden. Die nicht autorisierte Löschung des Sicherheitsprotokolls kann darauf hinweisen, dass ein Angreifer versucht hat, im Sicherheitsprotokoll enthaltene Einträge zu verdecken. Der Name des Benutzers, der das Protokoll gelöscht hat, ist in den Ereignisdetails enthalten. |
Contoso überwacht sowohl das Herunterfahren und Neustarten von Computern als auch die Löschung des Sicherheitsprotokolls. RichtlinienänderungenDie Überwachungsrichtlinie legt fest, welche Änderungen der Umgebung überwacht werden, und unterstützt Sie bei der Erkennung von Attacken auf Ihre Umgebung. Ein entschlossener Angreifer versucht jedoch, die Überwachungsrichtlinie selbst zu ändern, damit seine Änderungen nicht überwacht werden. Wenn Sie Richtlinienänderungen überwachen, werden versuchte Änderungen der Überwachungsrichtlinie sowie Änderungen an anderen Richtlinien und Benutzerrechten protokolliert. In den Basisrichtlinien für Mitgliedsserver und Domänencontroller ist die Erfolgs- und Fehlerüberwachung von Richtlinienänderungen konfiguriert. Die folgenden Ereignisse werden im Ereignisprotokoll aufgezeichnet. Tabelle 9: Im Ereignisprotokoll angezeigte Richtlinienänderungsereignisse 608 | Ein Benutzerrecht wurde zugewiesen. | 609 | Ein Benutzerrecht wurde entfernt. | 610 | Eine Vertrauensstellung mit einer anderen Domäne wurde erstellt. | 611 | Eine Vertrauensstellung mit einer anderen Domäne wurde entfernt. | 612 | Eine Überwachungsrichtlinie wurde geändert. | 768 | Ein Konflikt zwischen einem Namespaceelement in einer Gesamtstruktur und einem Namespaceelement in einer anderen Gesamtstruktur wurde erkannt. (Dieses Ereignis tritt auf, wenn ein Namespaceelement in einer Gesamtstruktur ein Namespaceelement in einer anderen Gesamtstruktur überlappt.) |
Die wichtigsten Ereignisse in diesem Zusammenhang sind die Ereignis-IDs 608 und 609. Viele Angriffsversuche führen zur Aufzeichnung dieser Ereignisse. Die folgenden Beispiele generieren ein Ereignis 608, wenn das Benutzerrecht zugewiesen wird, oder ein Ereignis 609, wenn das Benutzerrecht entfernt wird. In jedem Fall sind die spezifische SID, der das Benutzerrecht zugewiesen ist, und der Benutzername des zugehörigen Sicherheitsprincipals in den Ereignisdetails enthalten: | • | Einsetzen als Teil des Betriebssystems
Suchen Sie nach den Ereignis-IDs 608 und 609 mit dem Benutzerrecht seTcbPrivilege in den Ereignisdetails. | | • | Hinzufügen von Arbeitsstationen zur Domäne
Suchen Sie nach den Ereignissen mit dem Benutzerrecht SeMachineAccountPrivilege in den Ereignisdetails. | | • | Sichern von Dateien und Verzeichnissen
Suchen Sie nach den Ereignissen mit dem Benutzerrecht SeBackupPrivilege in den Ereignisdetails. | | • | Auslassen der durchsuchenden Überprüfung
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeChangeNotifyPrivilege in den Ereignisdetails. Dieses Benutzerrecht ermöglicht Benutzern auch dann das Durchsuchen einer Verzeichnisstruktur, wenn sie keine anderen Rechte für den Zugriff auf dieses Verzeichnis besitzen. | | • | Systemzeit ändern
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeSystemtimePrivilege in den Ereignisdetails. Dieses Benutzerrecht ermöglicht einem Sicherheitsprincipal das Ändern der Systemzeit und somit das Vertuschen des Zeitpunkts eines Ereignisses. | | • | Erstellen von dauerhaft freigegebenen Objekten
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeCreatePermanentPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können Datei- und Druckfreigaben erstellen. | | • | Debuggen von Programmen
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeDebugPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können mit jedem beliebigen Prozess eine Verbindung herstellen. Dieses Recht wird standardmäßig nur Administratoren zugewiesen. | | • | Erzwingen des Herunterfahrens von einem Remotesystem aus
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeRemoteShutdownPrivilege in den Ereignisdetails. | | • | Anheben der Zeitplanungspriorität
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeIncreaseBasePriorityPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können Prozessprioritäten ändern. | | • | Laden und Entfernen von Gerätetreibern
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeLoadDriverPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können eine Gerätetreiberversion downloaden, die ein Trojanisches Pferd enthält. | | • | Verwalten von Überwachungs- und Sicherheitsprotokoll
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeSecurityPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können das Sicherheitsprotokoll anzeigen und löschen. | | • | Ersetzen eines Tokens auf Prozessebene
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeAssignPrimaryTokenPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können das standardmäßig zugeordnete Token eines gestarteten Unterprozesses ändern. | | • | Wiederherstellen von Dateien und Verzeichnissen
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeRestorePrivilege in den Ereignisdetails. | | • | System herunterfahren
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeShutdownPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können das System herunterfahren, um die Installation eines neues Gerätetreibers zu initialisieren. | | • | Übernehmen des Besitzes an Dateien und Objekten
Suchen Sie nach Ereignissen mit dem Benutzerrecht SeTakeOwnershipPrivilege in den Ereignisdetails. Benutzer mit diesem Recht können auf jedes Objekt oder jede Datei auf einem NTFS-Dateisystemdatenträger zugreifen, indem sie den Besitz an dem Objekt beziehungsweise der Datei übernehmen. |
Hinweis: Diese Überwachungsereignisse geben nur an, dass das Benutzerrecht einem spezifischen Sicherheitsprincipal zugewiesen wurde. Sie besagen nicht, dass der Sicherheitsprincipal unter Verwendung des Benutzerrechts eine Task ausgeführt hat. Die Überwachungsereignisse geben an, wann die Benutzerrechtrichtlinie geändert wurde. Contoso überwacht zurzeit keine Richtlinienänderungsereignisse. Diese Ereignisse werden zur Problembehandlung und Reaktion auf Sicherheitsverletzungen verwendet. Die Überwachung von Änderungen an Gruppenrichtlinien kann sehr schwierig sein und zu zahlreichen Fehlalarmen führen. Dies ist in erster Linie darauf zurückzuführen, dass das MMC-Snap-In zur Bearbeitung von Gruppenrichtlinien gpedit.msc Richtlinien immer mit Lese- und Schreibrechten öffnet. Auch wenn keine Änderungen an der Richtlinie vorgenommen werden, wird das Ereignis 578 wie unten dargestellt in das Sicherheitsprotokoll des Domänencontrollers geschrieben. Diese Probleme können mit der kurz nach dem Erscheinen von Windows Server 2003 als kostenloses Download bereitgestellten Konsole Gruppenrichtlinienverwaltung umgangen werden. Diese Konsole ermöglicht autorisierten Benutzern das Anzeigen von Gruppenrichtlinieneinstellungen, ohne diese in gpedit.msc öffnen zu müssen. Weitere Informationen zur Gruppenrichtlinienverwaltung finden Sie unter: http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx(englischsprachig). Schutz der EreignisprotokolleUm sicherzustellen, dass die Ereignisprotokolleinträge zur späteren Verwendung aufbewahrt werden, sollten Sie einige Schritte zum Schützen der Ereignisprotokolle ausführen. Dazu zählen folgende Schritte: | • | Definieren einer Richtlinie für das Speichern, Überschreiben und Verwalten aller Ereignisprotokolle. Diese Richtlinie sollte alle erforderlichen Ereignisprotokolleinstellungen definieren und durch Gruppenrichtlinien angewendet werden. | | • | Integrieren einer Vorgehensweise für die Behandlung voller Ereignisprotokolle (insbesondere des Sicherheitsprotokolls) in diese Richtlinie. Ein volles Sicherheitsprotokoll sollte das Herunterfahren des Servers erzwingen. Dies ist in einigen Umgebungen unter Umständen nicht praktikabel, sollte aber unbedingt in Erwägung gezogen werden. | | • | Verhindern des Gastzugriffs auf die Ereignisprotokolle durch Aktivieren der Sicherheitsrichtlinieneinstellungen, die lokalen Gästen den Zugriff auf die System-, Anwendungs- und Sicherheitsprotokolle untersagen. | | • | Aktivieren der Erfolgs- und Fehlerüberwachung von Systemereignissen, um festzustellen, ob Versuche zum Löschen des Sicherheitsprotokolls unternommen werden. | | • | Erzwingen der Verwendung komplexer Kennwörter oder einer auf zwei Faktoren beruhenden Authentifizierungsmethode (zum Beispiel Smarcard-Anmeldung) durch alle Sicherheitsprincipals, die Überwachungseinstellungen anzeigen oder ändern können. Dadurch werden auf den Zugriff auf Überwachungsinformationen abzielende Attacken auf diese Konten verhindert. |
Contoso hat diese Einstellungen in den Gruppenrichtlinienobjekten für Mitgliedsserver und Domänencontroller implementiert. Zusätzlich zu diesen Schritten sollten Sie die folgenden praktischen Maßnahmen ergreifen, um die Sicherheit der Ereignisprotokollinformationen zu gewährleisten: | • | Stellen Sie sicher, dass Ihr Sicherheitsplan die physikalische Sicherheit aller Server beinhaltet. Dadurch wird verhindert, dass sich ein Angreifer physikalischen Zugang zu dem zur Überwachung verwendeten Computer verschafft. Ein Angreifer kann Überwachungseinträge entfernen, indem er die physikalischen EVT-Dateien auf dem lokalen Festplattensubsystem ändert oder löscht. | | • | Implementieren Sie eine Methode, um die Ereignisprotokolle an einen vom physikalischen Server getrennten Speicherort zu verschieben beziehungsweise an einem solchen Ort zu speichern. Die Ereignisprotokolle können zum Beispiel mithilfe von geplanten Tasks in regelmäßigen Abständen auf CD-R oder einmal beschreibbare/mehrfach lesbare Medien oder an andere vom Server getrennte Netzwerkspeicherorte geschrieben werden. Wenn die Sicherungen auf externe Medien wie Sicherungsbänder oder CD-Rs kopiert werden, sollten diese Medien außerhalb des Büros gelagert werden, um sie vor Feuer oder anderen Naturkatastrophen zu schützen. |
Hinweis: Durch das Verhindern des Gastzugriffs auf Ereignisprotokolle wird nur verhindert, dass Nicht-Domänenmitglieder auf die Ereignisprotokolle zugreifen. Standardmäßig können alle Benutzer in einer Domäne auf die System- und Anwendungsprotokolle zugreifen. Nur der Zugriff auf das Sicherheitsprotokoll wird beschränkt. Sicherheitsprincipals mit dem Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokoll können auf das Sicherheitsprotokoll zugreifen. Dieses Recht wird standardmäßig nur Administratoren und Exchange-Organisationsservern zugewiesen. Weitere empfohlene Vorgehensweisen für die ÜberwachungNeben der Überwachungskonfiguration sollten Sie weitere Methoden zur effektiven Überwachung der Sicherheit Ihrer Serverumgebung implementieren. Dazu gehören: | • | Planen der regelmäßigen Überprüfung der Ereignisprotokolle | | • | Überprüfen anderer Anwendungsprotokolldateien | | • | Überwachen der installierten Dienste und Treiber | | • | Überwachen geöffneter Ports |
Planen der regelmäßigen Überprüfung der Ereignisprotokolle Wie zuvor erwähnt sollten das Sicherheitsprotokoll und gegebenenfalls die anderen Ereignisprotokolle zur Überprüfung auf Wechselmedien kopiert oder an einem zentralen Speicherort konsolidiert werden. Die Überprüfung der Protokolle ist meist der am häufigsten vernachlässigte Überwachungsschritt. Contoso hat durch großen Arbeitsaufwand sichergestellt, dass entweder eine einzelne Person oder ein Team für die regelmäßige Überprüfung der Ereignisprotokolle zuständig ist. Eine solche Überprüfung von Ereignisprotokollen kann je nach erfasster Datenmenge im Sicherheitsprotokoll als tägliches oder wöchentliches Ereignis geplant werden. Dies richtet sich normalerweise nach der im Netzwerk implementierten Überwachungsebene. Wenn die Überwachung mehr Ereignisse umfasst, ist die Anzahl von Protokolleinträgen höher. Mit der Planung einer regelmäßigen Ereignisprotokollüberprüfung verfolgen Sie die folgenden Ziele: | • | Schnellere Erkennung von Sicherheitsproblemen
Wenn die Ereignisprotokolle täglich überprüft werden, sind Sicherheitsereignisse niemals älter als 24 Stunden. Auf diese Weise können Sicherheitsrisiken schnell erkannt und behoben werden. | | • | Definieren von Verantwortlichkeiten
Wenn eine regelmäßige Überprüfung von Ereignisprotokollen erforderlich ist, kann die für diese Aufgabe zuständige Person letztlich für die Identifizierung von potenziellen Attacken verantwortlich sein. | | • | Reduzieren des Risikos, dass Ereignisse überschrieben werden oder das Herunterfahren des Servers erzwungen wird
Nachdem ein Ereignisprotokoll überprüft wurde, können die Ereignisse in der Protokolldatei zur späteren Verwendung archiviert und aus dem aktuellen Ereignisprotokoll entfernt werden. Durch diese Vorgehensweise wird das Risiko reduziert, dass die Ereignisprotokolle voll werden. |
Überprüfen anderer Anwendungsprotokolldateien Neben der Überprüfung der Sicherheitsereignisse in den Windows 2000-Ereignisprotokollen sollten Sie auch die von Anwendungen erstellten Protokolle überprüfen. Die Anwendungsprotokolle können wertvolle Informationen zu potenziellen Attacken enthalten, die die Informationen in den Ereignisprotokollen ergänzen. Abhängig von Ihrer Umgebung müssen Sie gegebenenfalls die folgenden Protokolldateien überprüfen: | • | Internetinformationsdienste (IIS)
IIS generiert Protokolldateien, die Verbindungsversuche mit Web-, FTP- (File Transfer Protocol), NTP- (Network Time Protocol) und SMTP-Diensten (Simple Mail Transfer Protocol) verfolgen. Jeder unter IIS ausgeführte Dienst verwaltet separate Protokolldateien und speichert diese Dateien im erweiterten Protokolldateiformat W3C (World Wide Web Consortium) im Ordner %WinDir%\System32\Logfiles. Jeder Dienst unterhält zur weiteren Aufschlüsselung der Protokollinformationen einen separaten Ordner. Stattdessen können Sie IIS auch zum Speichern der Protokolle in einer ODBC-kompatiblen Datenbank (ODBC = Open Database Connectivity) wie Microsoft SQL Server™ konfigurieren. | | • | Microsoft Internet Security and Acceleration-Server (ISA)
ISA-Server bietet Protokolle für Paketfilter, den ISA-Server-Firewalldienst und den ISA-Server-Webproxydienst. Wie in IIS werden die Protokolle standardmäßig im erweiterten W3C-Protokolldateiformat gespeichert, sie können jedoch auch in einer ODBC-kompatiblen Datenbank aufgezeichnet werden. Die ISA-Server-Protokolldateien werden standardmäßig im Ordner C:\Programme\Microsoft ISA Server\ISALogs gespeichert. | | • | Internetauthentifizierungsdienst (IAS)
IAS stellt eine zentrale Authentifizierung und Kontoführung für die Remotezugriffsauthentifizierung mit dem RADIUS-Protokoll (Remote Authentication Dial-In User Service) bereit. Kontoführungsanforderungen, Authentifizierungsanforderungen und regelmäßige Statusanforderungen werden standardmäßig in der Datei IASlog.log im Ordner %WinDir%\System32\Logfiles protokolliert. Zum Speichern der Protokolldatei kann anstelle des IAS-Formats auch ein datenbankkompatibles Dateiformat verwendet werden. | | • | Anwendungen von Drittanbietern
Mehrere Anwendungen von Drittanbietern implementieren lokale Protokollierungsfunktionen, um detaillierte Informationen zur Anwendung bereitzustellen. Weitere Informationen hierzu finden Sie in den Hilfedateien für die jeweilige Anwendung. |
Hinweis: Alle Computer, die Protokolldateien verwalten, sollten synchronisierte Uhren verwenden. Dies ermöglicht einem Administrator das Vergleichen von Ereignissen zwischen Computern und Diensten, um die von einem Angreifer durchgeführten Aktionen zu ermitteln. Ausführliche Informationen zur Zeitsynchronisierungen finden Sie unter "Bedeutung der Zeitsynchronisierung" in diesem Modul. Überwachen von installierten Diensten und Treibern Viele Attacken gegen Computer werden durch Angreifen der auf dem Zielcomputer installierten Dienste oder durch Ersetzen gültiger Treiber durch Treiberversionen, die ein Trojanisches Pferd enthalten, implementiert. Auf diese Weise kann sich ein Angreifer Zugriff auf den Zielcomputer verschaffen. Die folgenden Tools können zur Überwachung der auf Ihren Computern installierten Dienste und Treiber verwendet werden: | • | Konsole Dienste
Die MMC-Konsole Dienste dient zum Überwachen der Dienste auf dem lokalen Computer oder einem Remotecomputer und ermöglicht einem Administrator das Konfigurieren, Unterbrechen, Anhalten, Starten und Neustarten aller installierten Dienste. Verwenden Sie diese Konsole, um festzustellen, ob für den automatischen Start konfigurierte Dienste nicht gestartet werden. | | • | Netsvc.exe
Dieses im Windows 2000 Server Resource Kit enthaltene Befehlszeilenprogramm ermöglicht einem Administrator über die Befehlszeile das Starten, Anhalten, Unterbrechen, Fortsetzen und Abfragen des Status von Diensten im Remotemodus. | | • | SvcMon.exe
Das Dienstüberwachungstool überwacht Dienste auf lokalen Computern oder Remotecomputern und überprüft, ob Statusänderungen vorliegen (Starten oder Anhalten). Zum Erkennen dieser Änderungen implementiert das Tool ein Abfragesystem. Wenn ein überwachter Dienst angehalten oder gestartet wird, sendet Ihnen das Tool eine E-Mail-Benachrichtigung. Sie müssen die Server, die Abfrageintervalle und die zu überwachenden Dienste mit dem Dienstmonitor-Konfigurationstool (smconfig.exe) konfigurieren. | | • | Drivers.exe
Dieses Tool zeigt alle installierten Gerätetreiber auf dem Computer an, auf dem es ausgeführt wird. Die Ausgabe des Tools enthält Informationen wie den Dateinamen des Treibers, die Größe des Treibers auf der Festplatte und das Datum, an dem der Treiber verknüpft wurde. Anhand des Verknüpfungsdatums können neu installierte Treiber identifiziert werden. Wenn ein aktualisierter Treiber nicht kürzlich installiert wurde, kann dies auf einen ersetzten Treiber hinweisen. Setzen Sie diese Informationen immer mit einem Systemneustartereignis in der Ereignisanzeige in Beziehung. |
Hinweis: Obwohl sie abgefragt werden können, können nicht alle Dienste (zum Beispiel der Arbeitsstationsdienst) direkt angehalten werden. Wenn der Benutzer eine Vielzahl aktiver Verbindungen unterhält, können Sie den Dienst zwar unterbrechen oder abfragen, Sie können ihn aber nicht im Remotemodus herunterfahren. Einige Dienste verfügen über abhängige Dienste. Das Herunterfahren solcher Dienste schlägt fehl, sofern nicht zuerst die abhängigen Dienste heruntergefahren werden. Überwachen von geöffneten Ports Attacken werden häufig mit der Durchführung einer Portprüfung gestartet, um die auf dem Zielcomputer ausgeführten Dienste zu identifizieren. Sie sollten die auf Ihren Servern geöffneten Ports sorgfältig überwachen. Im Allgemeinen führen Sie hierzu selbst eine Portprüfung aus, um die zugänglichen Ports zu ermitteln. Die Portprüfungen sollten sowohl lokal als auch auf dem Zielcomputer und über einen Remotecomputer ausgeführt werden. Wenn der Computer über ein öffentliches Netzwerk zugänglich ist, muss die Portprüfung über einen externen Computer ausgeführt werden, um sicherzustellen, dass die Firewallsoftware nur den Zugriff auf die gewünschten Ports zulässt. Netstat.exe ist ein Befehlszeilenprogramm, das alle geöffneten Ports für das TCP-Protokoll (Transmission Control Protocol) und das UDP-Protokoll (User Datagram Protocol) anzeigen kann. Für den Netstat-Befehl wird folgende Syntax verwendet:
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
Dabei gilt: | • | -a. Zeigt alle Verbindungen und überwachten Ports an. | | • | -e. Zeigt Ethernet-Statistiken an. Diese Option kann mit der Option -s kombiniert werden. | | • | -n. Zeigt Adressen und Portnummern in numerischer Form an. | | • | -p proto. Zeigt Verbindungen für das mit "proto" angegebene Protokoll an. Bei "proto" kann es sich um TCP oder UDP handeln. Wird diese Option zur Anzeige von Statistiken für die einzelnen Protokolle zusammen mit der Option -s verwendet, kann es sich bei "proto" um TCP, UDP oder IP (Internet Protocol) handeln. | | • | -r. Zeigt die Routingtabelle an. | | • | -s. Zeigt Statistiken für einzelne Protokolle an. Statistiken werden standardmäßig für TCP, UDP und IP angezeigt. Die Option -p kann verwendet werden, um eine Teilmenge der Standardeinstellung zu definieren. | | • | interval. Zeigt ausgewählte Statistiken erneut an, wobei zwischen den einzelnen Anzeigen eine Verzögerung (Unterbrechungsintervall in Sekunden) erfolgt. Drücken Sie STRG+C, um die erneute Anzeige von Statistiken anzuhalten. Wird diese Option nicht angegeben, gibt Netstat die aktuellen Konfigurationsinformationen auf einmal aus. |
Wenn Sie die geöffneten TCP- und UDP-Ports am lokalen Computer überwachen, werden Portnummern basierend auf den Einträgen in der Dienstdatei im Ordner \%WinDir%\System32\Drivers\Etc\ in Namen übersetzt. Wenn nur Portnummern angezeigt werden sollen, verwenden Sie die Option -n. Werden nicht erkannte geöffnete Ports gefunden, sollten Sie diese untersuchen, um festzustellen, ob der entsprechende Dienst auf dem Computer benötigt wird. Wird ein Dienst nicht benötigt, sollten Sie ihn deaktivieren oder entfernen, damit der Computer diesen Port nicht überwacht. In den mit diesem Handbuch bereitgestellten Basisrichtlinien für Mitgliedsserver und Domänencontroller wurde eine Reihe von Diensten deaktiviert. Da viele Server durch Firewalls oder Paketfilterrouter geschützt sind, sollte die Portprüfung auch von einem Remotecomputer aus durchgeführt werden. Für Remoteportprüfungen sind viele Tools von Drittanbietern (einschließlich einiger kostenlos erhältlicher Produkte) verfügbar. Die Remoteportprüfung ermittelt die beim Herstellen einer Verbindung mit dem Computer für externe Benutzer verfügbaren Ports. Hinweis: Portprüfungen können auch zum Testen des Eindringungserkennungssystems verwendet werden, um sicherzustellen, dass es die Ausführung der Portprüfung erkennt. Weitere Informationen zu Eindringungserkennungssystemen finden Sie unter "Aktive Erkennungsmethoden" in diesem Modul. Überwachen von Eindringungs- und SicherheitsereignissenDie Überwachung von Eindringungs- und Sicherheitsereignissen beinhaltet sowohl passive als auch aktive Tasks. Viele Eindringungen werden nach der Attacke durch die Überprüfung der Protokolldateien festgestellt. Diese Erkennung nach der eigentlichen Attacke wird häufig als passive Eindringungserkennung bezeichnet. Die Attacke kann nur durch eine Untersuchung der Protokolldateien überprüft und anhand der Protokollinformationen rekonstruiert werden. Andere Eindringungsversuche können erkannt werden, während die Attacke stattfindet. Diese als aktive Eindringungserkennung bezeichnete Methode sucht nach bekannten Angriffsmustern oder Befehlen und blockiert deren Ausführung. In diesem Abschnitt werden Tools vorgestellt, mit denen Sie beide Formen der Eindringungserkennung zum Schutz Ihres Netzwerks gegen Attacken implementieren können. Bedeutung der ZeitsynchronisierungWenn Sie Eindringungs- und Sicherheitsereignisse zwischen mehreren Computern überwachen, müssen die Uhren der Computer synchronisiert sein. Die synchronisierte Zeit ermöglicht einem Administrator das Rekonstruieren der während einer Attacke auf mehrere Computer ausgeführten Aktionen. Wenn die Zeit nicht synchronisiert ist, kann nur sehr schwer festgestellt werden, wann bestimmte Ereignisse stattgefunden haben und wie diese miteinander verknüpft sind. Passive ErkennungsmethodenPassive Eindringungserkennungssysteme beinhalten die manuelle Überprüfung von Ereignis- und Anwendungsprotokollen. Bei der Überprüfung werden Angriffsmuster in Ereignisprotokolldaten aufgedeckt und analysiert. Zur Überprüfung von Ereignisprotokollen stehen mehrere Tools, Dienstprogramme und Anwendungen zur Verfügung. In diesem Abschnitt wird beschrieben, wie jedes Tool zum Koordinieren von Informationen verwendet werden kann. EreignisanzeigeDas Windows 2000-Sicherheitsprotokoll kann natürlich in der MMC-Konsole Ereignisanzeige von Windows 2000 angezeigt werden. Die Ereignisanzeige ermöglicht das Anzeigen der Anwendungs-, Sicherheits- und Systemprotokolle. Sie können Filter definieren, um in der Ereignisanzeige nach spezifischen Ereignissen zu suchen. | • | So definieren Sie Filter in der Ereignisanzeige 1. | Wählen Sie in der Konsolenstruktur das gewünschte Ereignisprotokoll aus. | 2. | Wählen Sie im Ansichtsmenü den Befehl Filter. | 3. | Wählen Sie die Parameter für die Filterung aus. |
|
Auf der Registerkarte Filter des Dialogfelds Eigenschaften können Sie die folgenden Attribute zum Filtern von Ereigniseinträgen definieren: | • | Ereignistyp. Der Filter kann auf Informationen, Warnungen, Fehler, Erfolgsüberwachungen, Fehlerüberwachungen oder eine beliebige Kombination dieser Ereignistypen beschränkt werden. | | • | Ereignisquelle. Dies ist der spezifische Dienst oder Treiber, der das Ereignis generiert hat. | | • | Kategorie. Der Filter kann auf bestimmte Ereigniskategorien beschränkt werden. | | • | Ereignis-ID. Wenn Sie die Kennung des gesuchten Ereignisses kennen, können Sie den Filter auf diese spezifische Ereignis-ID beschränken. | | • | Benutzer. Sie können die Ereignisanzeige auf die von einem bestimmten Benutzer generierten Ereignisse beschränken. | | • | Computer. Sie können die Ereignisanzeige auf die von einem bestimmten Computer generierten Ereignisse beschränken. | | • | Datumsintervalle. Sie können die Anzeige auf Ereignisse beschränken, die zwischen dem definierten Anfangs- und Enddatum liegen. |
Nach der Anwendung des Filters kann die gefilterte Ereignisliste für den Import in eine Datenbankanwendung in eine durch Kommas oder Tabstopps getrennte Liste exportiert werden. Wie bereits erwähnt sind bei Contoso jeder Verwaltungsfunktion mehrere Personen zugeordnet, die für die Überprüfung der Ereignisprotokolle verantwortlich sind. Im Rahmen dieser Aufgabe überprüfen die zuständigen Mitarbeiter täglich, ob die Protokolle sicherheitsspezifische Ereignisse enthalten, die nicht vom Überwachungssystem protokolliert wurden. Programm zur Ereignisprotokollabbildung (Dumpel.exe)Dump Event Log ist ein im Windows 2000 Server Resource Kit, Supplement 1 enthaltenes Befehlszeilenprogramm (Microsoft Press, ISBN: 0-7356-1279-X). Es erstellt in einer durch Tabstopps getrennten Textdatei ein Abbild eines Ereignisprotokolls für ein lokales System oder Remotesystem. Diese Datei kann dann zur weiteren Untersuchung in eine Kalkulationstabelle oder Datenbank importiert werden. Das Programm kann auch zum Filtern bestimmter Ereignistypen verwendet werden. Für das Befehlszeilenprogramm dumpel.exe wird folgende Syntax verwendet:
dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...] [-r] [-t]
[-d x]
Dabei gilt: | • | -f file. Gibt den Dateinamen für die Ausgabedatei an. Da für -f keine Standardvorgabe verfügbar ist, müssen Sie die Datei angeben. | | • | -s server. Gibt den Server an, für den Sie das Ereignisprotokoll abbilden möchten. Führende umgekehrte Schrägstriche für den Servernamen sind optional. | | • | -l log. Gibt das abzubildende Protokoll an (System, Anwendung, Sicherheit). Wird ein ungültiger Protokollname angegeben, wird das Anwendungsprotokoll abgebildet. | | • | -m source. Gibt an, in welcher Quelle Datensätze abgebildet werden sollen (zum Beispiel Redirector (rdr), seriell usw.). Nur eine Quelle kann angegeben werden. Wenn diese Option nicht verwendet wird, werden alle Ereignisse abgebildet. Wird eine nicht in der Registrierung erfasste Quelle verwendet, wird das Anwendungsprotokoll nach Datensätzen dieses Typs durchsucht. | | • | -e n1 n2 n3. Filtert nach Ereignis-ID nn (bis zu 10 Kennungen können angegeben werden). Wenn die Option -r nicht verwendet wird, werden nur Datensätze dieser Typen abgebildet. Wird -r verwendet, werden alle Datensätze mit Ausnahme dieser Typen abgebildet. Wird diese Option nicht verwendet, werden alle Ereignisse aus dem angegebenen Quellennamen ausgewählt. Diese Option kann nicht ohne die Option -m verwendet werden. | | • | -r. Gibt an, ob spezifische Quellen oder Datensätze gefiltert beziehungsweise herausgefiltert werden sollen. | | • | -t. Gibt an, dass einzelne Zeichenfolgen durch Tabstopps getrennt werden. Wird -t nicht verwendet, werden Zeichenfolgen durch Leerzeichen getrennt. | | • | -d x. Bildet Ereignisse für die vergangenen x Tage ab. |
Hinweis: dumpel.exe kann nur Inhalt aus den System-, Anwendungs- und Sicherheitsprotokolldateien abrufen. Sie können dieses Befehlszeilenprogramm nicht zum Abfragen von Inhalt aus den Dateireplikationsdienst-, DNS- (Domain Name System) oder Verzeichnisdienst-Ereignisprotokollen verwenden. EventCombMTEventCombMT ist ein Tool mit mehreren Threads, das Ereignisprotokolle von vielen Servern gleichzeitig analysiert. Dabei wird für jeden in den Suchkriterien enthaltenen Server ein Ausführungsthread verwendet. EventCombMT ist in den Microsoft Windows Server 2003 Resource Kit Tools enthalten. Weitere Informationen finden Sie unter: http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx. Mit dem Tool können Sie folgende Aufgaben ausführen: | • | Definieren einer einzigen oder mehrerer Ereignis-IDs für die Suche.
Sie können eine Ereignis-ID oder mehrere durch Leerzeichen getrennte Ereignis-IDs angeben. | | • | Definieren eines Bereichs von Ereignis-IDs für die Suche.
Die Endpunkte des Bereichs sind in der Auswahl enthalten. Wenn Sie zum Beispiel nach allen Ereignissen zwischen und einschließlich der Ereignis-ID 528 und der Ereignis-ID 540 suchen möchten, definieren Sie den Bereich 528 > ID < 540. Dieses Feature ist hilfreich, da die meisten in das Ereignisprotokoll schreibenden Anwendungen einen aufeinander folgenden Bereich von Ereignissen verwenden. | | • | Beschränken der Suche auf bestimmte Ereignisprotokolle.
Sie können wahlweise die System-, Anwendungs- und Sicherheitsprotokolle durchsuchen. Bei der lokalen Ausführung auf einem Domänencontroller können Sie auch FRS-, DNS- und AD-Protokolle durchsuchen. | | • | Beschränken der Suche auf bestimmte Ereignismeldungstypen.
Sie können die Suche auf Fehler, Informationen, Warnungen, Erfolgsüberwachungen, Fehlerüberwachungen oder Erfolgsereignisse beschränken. | | • | Beschränken der Suche auf bestimmte Ereignisquellen.
Sie können die Suche auf Ereignisse aus einer bestimmten Ereignisquelle beschränken. | | • | Suchen nach spezifischem Text in einer Ereignisbeschreibung.
Sie können für jedes Ereignis nach spezifischem Text suchen. Diese ist für die Untersuchung von bestimmten Benutzern oder Gruppen hilfreich. Hinweis: Suchlogik wie UND, ODER oder NICHT kann nicht in den gesuchten Text eingeschlossen werden. Zudem darf der Text nicht in Anführungszeichen gesetzt werden. | | • | Definieren spezifischer Zeitintervalle zur Suche nach Ereignissen vor dem aktuellen Datum und der aktuellen Uhrzeit.
Dies ermöglicht das Beschränken der Suche auf Ereignisse, die in der vergangenen Woche, am vorhergehenden Tag oder im letzten Monat aufgetreten sind. |
Installieren des Tools Zum Installieren des Tools extrahieren Sie den Inhalt der mit diesem Handbuch bereitgestellten selbstextrahierenden Datei SecWin2k.exe. Dadurch wird ein Ordner C:\SCI\scripts\EventComb erstellt. Nach dem Extrahieren der Dateien können Sie das EventCombMT-Tool durch Doppelklicken auf die Datei EventCombMT.exe ausführen. Ausführen des EventComb-Tools Der erste Schritt bei der Verwendung des EventComb-Tools ist die Definition der in die Ereignisprotokollsuche einzubeziehenden Computer. | • | So fügen Sie zu suchende Computer hinzu 1. | Stellen Sie im EventCombMT-Tool sicher, dass die korrekte Domäne automatisch im Domänenfeld ausgewählt wurde. Wenn Sie Ereignisprotokolle in einer anderen Domäne durchsuchen möchten, geben Sie den neuen Domänennamen manuell ins Feld Domain ein. | 2. | Zum Hinzufügen von Computern zur Suchliste klicken Sie mit der rechten Maustaste auf das Feld unter Select To Search/Right Click to Add. Das Popupmenü ist in der folgenden Abbildung dargestellt:  Abbildung 1
Verwenden der Einstellungen im EventCombMT-Dialogfeld zum Hinzufügen von nicht automatisch erkannten Computern zur Suchliste Die folgenden Optionen sind verfügbar: | • | Get DCs in Domain. Fügt der Liste alle Domänencontroller für die aktuelle Domäne hinzu. | | • | Add Single Server. Ermöglicht Ihnen das Hinzufügen eines Servers oder einer Arbeitsstation zur Liste. | | • | Add all DCs in this domain. Ermöglicht Ihnen das Hinzufügen aller als globale Katalogserver konfigurierten Domänencontroller in der ausgewählten Domäne. | | • | Get All Servers. Fügt alle mit dem Suchdienst in der Domäne gefundenen Server hinzu. Alle Domänencontroller zählen nicht zu den Servern und sind hiervon ausgeschlossen. | | • | Get Servers from File. Ermöglicht Ihnen das Importieren einer Datei, die alle in den Suchbereich einzuschließenden Server enthält. Jeder Server sollte auf einer separaten Zeile in der Textdatei eingegeben werden. |
| 3. | Nachdem die Server der Liste hinzugefügt wurden, müssen Sie die Server auswählen, für die die Suche ausgeführt werden soll. Die ausgewählten Server werden in der Liste hervorgehoben. Halten Sie zum Auswählen mehrerer Server die STRG-Taste gedrückt. |
|
Festlegen der Ereignisprotokolle und Ereignistypen für die Suche Nachdem Sie die in die Ereignisprotokollsuche einzuschließenden Server ausgewählt haben, können Sie den Suchumfang beschränken, indem Sie die gewünschten Ereignisprotokolle und Ereignistypen auswählen. Im EventCombMT-Tool stehen die folgenden Ereignisprotokolle für die Suche zur Auswahl: | • | System | | • | Anwendung | | • | Sicherheit | | • | FRS (Dateireplikationsdienst-Protokoll) | | • | DNS (DNS-Server-Protokoll) | | • | AD (Verzeichnisdienstprotokoll) |
Zudem können Sie die folgenden Ereignistypen für die Suche auswählen: | • | Fehler. Dieses Ereignis wird in den Anwendungs- und Systemprotokollen aufgezeichnet und wird auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt. | | • | Information. Dieses Ereignis wird in den Anwendungs- und Systemprotokollen aufgezeichnet und wird auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt. | | • | Warnung. Dieses Ereignis wird in den Anwendungs- und Systemprotokollen aufgezeichnet und wird auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt. | | • | Erfolgsüberwachung. Dieses Ereignis wird im Sicherheitsprotokoll aufgezeichnet und erscheint auch im Anwendungsprotokoll, wenn die Anwendung Erfolgsüberwachungen im Protokoll registriert. Das Active Directory-Migrationsprogramm (ADMT) protokolliert zum Beispiel Erfolgsüberwachungsereignisse im Anwendungsprotokoll. | | • | Fehlerüberwachung. Dieses Ereignis wird im Sicherheitsprotokoll aufgezeichnet und erscheint auch im Anwendungsprotokoll, wenn die Anwendung Fehlerüberwachungen im Protokoll registriert. ADMT protokolliert zum Beispiel Fehlerüberwachungsereignisse im Anwendungsprotokoll. | | • | Erfolg. Dieses Ereignis kommt sehr selten vor. Es wird in den Anwendungs- und Systemprotokollen aufgezeichnet und auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt. In der Ereignisanzeige werden Erfolgsereignisse als Informationsereignistyp angezeigt. |
Hinweis: Wenn Sie wissen, in welchem Ereignisprotokoll eine Ereignis-ID erscheint, und den Ereignistyp der Ereignis-ID kennen, sollten Sie diese Informationen immer in den Suchkriterien angeben, da die Suche dadurch beschleunigt wird. Speichern von Suchen EventCombMT ermöglicht Ihnen das Speichern von Sucheinstellungen, so dass diese zu einem späteren Zeitpunkt erneut geladen werden können. Dies ist hilfreich, wenn Sie EventCombMT häufig zum Durchsuchen der ISS-Server nach einer Ereignisgruppe und zum Durchsuchen der Domänencontroller nach einer anderen Ereignisgruppe verwenden. Die Suchkriterien werden in der Registrierung unter folgendem Pfad gespeichert: HKLM\Software\Microsoft\EventCombMT und können auf einfache Weise bearbeitet werden. Suchergebnisdateien Die Ergebnisse der Suche werden standardmäßig im Ordner C:\Temp gespeichert. Die Ergebnisse beinhalten eine Zusammenfassungsdatei mit dem Namen EventCombMT.txt, und für jeden bei der Ereignisprotokollsuche berücksichtigten Computer wird eine separate Textdatei mit dem Namen Computername-Ereignisprotokollname_LOG.txt generiert. Diese individuellen Textdateien enthalten alle aus den Ereignisprotokollen extrahierten Ereignisse, die mit Ihren Suchkriterien übereinstimmen. Beispiele für die Verwendung von EventCombMT Zum Veranschaulichen der Verwendungsmöglichkeiten von EventCombMT wird im Folgenden beschrieben, wie das Tool zum Erkennen von Domänencontroller-Neustarts und Kontosperrungen konfiguriert werden kann. | • | So verwenden Sie EventCombMT zum Suchen nach Neustarts von Domänencontrollern 1. | Stellen Sie im EventCombMT-Tool sicher, dass die Domäne auf den korrekten Domänennamen eingestellt ist. | 2. | Klicken Sie im Feld Select to Search/Right Click to Add unter dem Domänennamen mit der rechten Maustaste auf Get DCs in Domain. Hinweis: Bei der Suche nach Ereignissen wie Kontoanmeldungs- und Kontenverwaltungsereignissen müssen Sie alle Domänencontroller durchsuchen. Da Windows 2000 ein Modell mit mehreren Mastern für die Kontenverwaltung verwendet, können Konten auf jedem Domänencontroller in der Domäne hinzugefügt, geändert oder gelöscht werden. Desgleichen kann die Authentifizierung von jedem Domänencontroller in der Domäne bestätigt werden. Aus diesem Grund können Sie nie sicher sein, wo ein spezifischer Aktualisierungs- oder Authentifizierungsversuch stattfindet. | 3. | Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add, und wählen Sie dann Select All Servers in List. | 4. | Wählen Sie im Abschnitt Choose Log Files to search des Tools nur das Systemprotokoll aus. | 5. | Wählen Sie im Abschnitt Event Types des Tools die Optionen Error und Informational aus. | 6. | Geben Sie die folgenden Ereignis-IDs in das zugehörige Feld ein: 1001 6005 6006 6008. | 7. | Stellen Sie sicher, dass Ihre Suchkriterien wie in der folgenden Abbildung dargestellt definiert sind, und klicken Sie dann auf Search.  Abbildung 2
Definieren von Suchkriterien im EventCombMT-Dialogfeld |
|
Nach der Suche können die Ergebnisse im Protokollverzeichnis angezeigt werden. Dieses Verzeichnis wird bei Abschluss der Suche automatisch angezeigt. | • | So überprüfen Sie die Protokolleinträge 1. | Wählen Sie im Menü File den Befehl Open Log Directory. | 2. | Doppelklicken Sie im Ordner C:\Temp auf die Ausgabedatei für einen Domänencontroller, um die vom EventCombMT-Tool protokollierten spezifischen Ereignisse anzuzeigen. Die Ausgabe sollte in etwa wie folgt aussehen: 1001,INFORMATION,Save Dump,Mi Nov 28 05:45:50 2001,,
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war:
0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc).
Ein volles Abbild wurde gespeichert in: C:\WINDOWS\MEMORY.DMP.
6005,INFORMATION,EReignisprotokoll,Mi Nov 28 05:45:46 2001,,
Der Ereignisprotokolldienst wurde gestartet.
6008,FEHLER,Ereignisprotokoll,Mi Nov 28 05:45:46 2001,,
Das System wurde zuvor am 11/28/2001 um 5:33:47
unerwartet heruntergefahren. 6005,INFORMATION,Ereignisprotokoll,Di Nov
27 14:10:53 2001,,Der Ereignisprotokolldienst wurde gestartet.
6006,INFORMATION,Ereignisprotokoll,Di Nov 27 14:09:26 2001,,
Der Ereignisprotokolldienst wurde beendet. 6005,INFORMATION,
Ereignisprotokoll,Di Nov 27 10:11:37 2001,,Der Ereignisprotokolldienst
wurde gestartet.
|
|
Das Ereignis 6006 identifiziert ein planmäßiges Herunterfahren, das von einem Benutzer mit Rechten zum Herunterfahren des Domänencontrollers initiiert wurde. Das Ereignis 6005 gibt an, dass der Ereignisprotokolldienst gestartet wurde. Dieses Ereignis findet beim Start statt. Die Ereignisse 6008 und 1001 geben an, dass der Computer ohne Herunterfahren ausgeschaltet wurde, der Computer aufgrund einer Sperrung neu gestartet wurde oder ein unerwarteter Abbruchfehler aufgetreten ist. Wenn ein Ereignis 1001 vorliegt, ist ein Abbruchfehler aufgetreten, und die Beschreibung enthält die zugehörigen Debuginformationen sowie einen Verweis auf die Debugdatei. Die vom EventCombMT-Tool zurückgegebenen Ereignisse sollten mit bekannten Ausfallzeiten verglichen werden. Untersuchen Sie nicht übereinstimmende Ereignisse, um sicherzustellen, dass der Server nicht angegriffen wurde. EventCombMT enthält mehrere vorkonfigurierte Suchen, mit denen Sie nach Sicherheitsereignissen suchen können. Für die Suche nach Kontosperrungsereignissen ist zum Beispiel eine vordefinierte Suche verfügbar. | • | So verwenden Sie EventCombMT zum Suchen nach Kontosperrungen 1. | Stellen Sie im EventCombMT-Tool sicher, dass die Domäne auf den korrekten Domänennamen eingestellt ist. | 2. | Klicken Sie im Feld Select to Search/Right Click to Add unter dem Domänennamen mit der rechten Maustaste auf Get DCs in Domain. | 3. | Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add, und wählen Sie dann Select All Servers in List. | 4. | Klicken Sie im Menü Searches auf Built In Searches, und klicken Sie dann auf Account Lockouts. Das EventCombMT-Tool ist wie in der folgenden Abbildung dargestellt konfiguriert: | 5. | Klicken Sie auf Search. | 6. | Nach der Suche können die Ergebnisse im Protokollverzeichnis angezeigt werden. Dieses Verzeichnis wird bei Abschluss der Suche automatisch angezeigt. |
|
Hinweis: Weitere vordefinierte Suchen in EventcombMT sind Suchen in Dateireplikationsdiensten, Active Directory-Suchen nach doppelten SIDs und NETLOGON DNS-Registrierungsfehlern, Hardwarefestplattenfehlern und DNS-Schnittstellenfehlern. Sie können auch eigene angepasste Suchen definieren und speichern. Contoso verwendet EventCombMT in Krisenfällen, um Probleme zu diagnostizieren oder die Ursache von Problemen zu bestimmen. Darüber hinaus wird regelmäßig auf allen Domänencontrollern überprüft, ob Kontosperrungen oder fehlerhafte Kennworteingaben vorliegen. Diese Prüfungen helfen bei der manuellen Identifizierung von ungewöhnlichen Mustern, die von einem Überwachungssystem nicht erkannt werden können. Sammeln von EreignissenEines der wichtigsten Ziele der Überwachung ist die Identifizierung der von Angreifern im Netzwerk ausgeführten Aktionen. Ein Angreifer kann versuchen, mehrere Computer und Geräte im Netzwerk zu gefährden. Um das Ausmaß einer Attacke verstehen zu können, müssen Sie daher in der Lage sein, Informationen von vielen Computern zu koordinieren und zu konsolidieren. Wenn Ihre Protokolldienstprogramme die erfassten Informationen in eine Datenbank importieren, ist die Koordination der Informationen aus mehreren Protokollen einfacher. Solange die Zeit auf allen Computern synchronisiert ist, können Sie Ereignisse basierend auf Zeitfeldern sortieren und deren Verfolgung durch die Verwendung von Zeitintervallen vereinfachen. Im folgenden Abschnitt werden einige der Tools und Dienstprogramme vorgestellt, mit denen Sie Ereignisprotokollinformationen an einem zentralen Speicherort sammeln können. Skripting Sie können Skripte erstellen, die Ereignisprotokollinformationen von Remotecomputern an einem zentralen Speicherort sammeln und speichern. Die Verwendung von Skripten ermöglicht das Festlegen des Zeitpunkts für die Skriptausführung mithilfe von Geplante Tasks und der nach dem erfolgreichen Kopieren des Ereignisprotokolls an den zentralen Speicherort auszuführenden Aktionen. Ein einfaches Beispiel hierfür ist das Erstellen einer Batchdatei, die Dumpel.exe aus dem Windows 2000 Server Resource Kit verwendet, und das regelmäßige Starten dieser Batchdatei mit dem Feature Geplante Tasks in der Systemsteuerung. Das Windows 2000 Resource Kit, Supplement 1 enthält das Perl-Skript Eventquery.pl. Dieses Skript dient zur Anzeige von Ereignissen aus den Ereignisanzeigeprotokollen auf lokalen Computern und Remotecomputern, die Windows 2000 ausführen, und es enthält zahlreiche Filter für die Suche nach spezifischen Ereignissen. Hinweis: Zur Verwendung dieses Skripts müssen Sie ActivePerl aus dem Windows 2000 Server Resource Kit installieren. Contoso verwendet zurzeit keine Lösung zur Ereignissammlung. Geplant ist jedoch die Verwendung des im kommenden Jahr erscheinenden Microsoft Überwachungssammelsystems (MACS). MACS ist ein Tool zur Sammlung von Sicherheitsereignissen, das Ereignisse unter Verwendung von Komprimierung, Signierung und Verschlüsselung auf sichere Weise sammelt. Die gesammelten Ereignisse werden in eine SQL-Datenbank geladen und für Analysezwecke optimiert. Microsoft Operations Manager Microsoft Operations Manager (MOM) 2000 enthält zahlreiche Tools, die Unternehmen eine gründliche Analyse der vordefinierten Ereignisberichterstattung und Leistungsüberwachung von Windows 2000 und der zugehörigen Anwendungen ermöglichen. Durch die Verwendung von intelligenten Agenten auf Remotecomputern kann MOM 2000 Ereignisse und Leistungsdaten an einem einzigen Speicherort sammeln, speichern und melden. Auf diesen Weise wird Administratoren die zentrale Überprüfung der gesammelten Informationen ermöglicht. Das Hauptverwaltungsbündel von MOM 2000 sammelt in den System-, Anwendungs- und Sicherheitsprotokollen aufgezeichnete Ereignisse und fasst diese in einem zentralen Repository zusammen. Hinweis: MOM 2000 speichert die erfassten Informationen in einer SQL Server-Datenbank und stellt mehrere Methoden zum Abrufen und Analysieren der archivierten Daten bereit. Administratoren können die Operations Manager-Administratorkonsole, die Webkonsole oder die Operations Manager-Berichterstattung zum Anzeigen, Drucken und Veröffentlichen der Daten verwenden. Jede Ansicht enthält vordefinierte Ansichten zum Analysieren der archivierten Daten und ermöglicht die Definition von angepassten Ansichten und Berichten. Drittanbieterlösungen für die Ereignisprotokollsammlung Mehrere Drittanbieterprodukte sind verfügbar, die eine zentrale Sammlung und Überprüfung von Ereignisprotokollen bieten. Beziehen Sie die folgenden Features bei der Auswahl von Drittanbieterprodukten in Ihre Überlegungen ein: | • | Unterstützung für alle Windows 2000-Protokolle
Neben den Anwendungs-, Sicherheits- und Systemprotokollen sollten die DNS-Server-, Verzeichnisdienst- und FRS-Protokolle unterstützt werden. | | • | Verwendung eines Datenbank-Back-Ends
Das Tool sollte die Speicherung der Ereignisprotokolle in einer Datenbankstruktur unterstützen, die die Überprüfung von vorherigen Ereignisprotokolleinträgen zur Trendanalyse und Korrelation von Ereignissen zwischen mehreren Servern ermöglicht. | | • | Such- und Berichterstattungsfunktionalität
Das Tool sollte die Suche nach spezifischen Ereignissen anhand von Kriterien unterstützen. Die Ergebnisse müssen in lesbarer Form dargestellt werden. |
Die folgenden Drittanbieterprodukte bieten Funktionen zur Ereignissammlung: Aktive ErkennungsmethodenAktive Eindringungserkennungssysteme analysieren eingehenden Verkehr auf der Anwendungsebene und suchen dabei nach bekannten Angriffsmethoden oder verdächtigen Nutzlasttypen auf Anwendungsebene. Wenn ein verdächtiges Paket empfangen wird, verwirft das Eindringungserkennungssystem das Paket normalerweise, und es schreibt einen Eintrag in eine Protokolldatei. Einige Eindringungserkennungssysteme können einen Administrator bei Erkennung einer schwerwiegenden Attacke auch warnen. Drittanbieterlösungen für die EindringungserkennungSowohl für Netzwerk- als auch für Endpunkt-Eindringungserkennungssysteme sind Lösungen von Drittanbietern erhältlich. Diese Drittanbieterlösungen bieten Unterstützung für andere Protokolle als HTTP (Hypertext Transfer Protocol), und sie überprüfen auch, ob bekannte Attacken gegen Netzwerkcomputer vorliegen. Eindringungserkennungssysteme sollten die folgenden allgemeinen Attackentypen erkennen: | • | Erkundungsattacken
Bei einer solchen Attacke überwacht ein Angreifer ein Netzwerk, um Sicherheitslücken aufzudecken. Zu den potenziellen Attacken zählen Ping-Sweeps, DNS-Zonentransfers, E-Mail-Erkundung, Portprüfungen und Downloaden von Websiteinhalt, um nach Skripten und Beispielseiten zu suchen, die eine Angriffsmöglichkeit bieten. | | • | Exploit-Attacken
Bei einer solchen Attacke nutzt ein Eindringling die verborgenen Features oder Fehler, um Zugriff auf das System zu erhalten. In den meisten Fällen wurden die Angriffspunkte durch eine vorhergehende Exploit-Attacke identifiziert. | | • | DoS-Attacken (Dienstverweigerung)
Bei einer solchen Attacke versucht ein Eindringling, einen auf einem Computer ausgeführten Dienst durch Überlastung einer Ressource (zum Beispiel Netzwerkverbindungen, die CPU oder das Datenträgersubsystem) zum Absturz zu bringen. Hierbei versucht der Eindringling nicht Informationen abzurufen, sondern er will den Computer unbrauchbar machen. |
Ein gutes Eindringungserkennungssystem sollte diese drei Formen von Attacken identifizieren. Zum Identifizieren von Attacken werden zwei unterschiedliche Methoden verwendet: | • | Erkennung von Anomalien
Diese Methode stützt sich auf die Baseline-Daten eines Computers im Netzwerk. Abweichungen von der Baseline können auf einen Eindringungsversuch hinweisen. Eine gestiegene Anzahl von Anmeldeversuchen außerhalb der Hauptzeiten kann einen gefährdeten Computer identifizieren. Der Vorteil der Anomalieerkennung besteht darin, dass Attacken ohne genaue Kenntnisse in der Ausführung der Attacke identifiziert werden können. | | • | Signaturerkennung
Diese Methode identifiziert Attacken basierend auf bekannten Mustern. Viele Webserverattacken verwenden allgemeine Muster, die sich leicht identifizieren lassen. Durch einen Vergleich des eingehenden Anwendungsverkehrs mit Signaturzeichenfolgen in einer Datenbank kann ein Eindringungserkennungssystem solche Attacken leicht identifizieren. Der Nachteil dieser Eindringungserkennungsmethode besteht darin, dass die Signaturdatenbank zur Identifizierung neuer Attackensignaturen häufig aktualisiert werden muss. |
Die folgenden Drittanbieterprodukte sind zum Beispiel für Tests und für die Bereitstellung verfügbar: Bewertung der SicherheitslückenNeben der passiven und aktiven Eindringungserkennung sollten Sie auch regelmäßig eine Bewertung der Sicherheitslücken vornehmen. Bei der Bewertung von Sicherheitslücken wird eine Attacke auf das Netzwerk simuliert, und die Sicherheitslücken, die ein Angreifer finden würde, werden aufgedeckt. Durch regelmäßige Bewertungen können Sie Sicherheitslücken ausfindig machen, bevor Ihnen ein Angreifer zuvorkommt, und Sie können den geschwächten Netzwerkteil zum Eindämmen des Sicherheitsrisikos sichern. Bei der Auswahl eines Tools für die Sicherheitslückenbewertung sollten Sie die folgenden Anforderungen in den Entscheidungsprozess einfließen lassen: | • | Automatisierter Mechanismus für die Datenbankaktualisierung
Das Tool sollte eine automatisierte Methode zum Aktualisieren der Signaturen für Sicherheitslücken bereitstellen, damit es nicht schon nach kurzer Zeit veraltet ist. | | • | Filter zum Minimieren von Fehlalarmen
Das Tool sollte falsche positive Ergebnisse herausfiltern, damit eine Organisation keine Zeit auf die Untersuchung von nicht sicherheitsspezifischen Ereignissen verschwendet. | | • | Speicherung von Ergebnissen in einer Datenbank
Das Tool sollte die Archivierung der Prüfungsergebnisse zulassen, damit Trendanalysen durchgeführt und im Laufe der Zeit entstehende Sicherheitsänderungen erkannt werden können. | | • | Lösungen für Sicherheitslücken
Wenn eine Sicherheitslücke erkannt wird, sollte das Tool Dokumentation zur Behebung des Problems oder Skripte zum Einrichten eines geeigneten Schutzes bereitstellen. |
Für die Bewertung von Sicherheitslücken in einem Windows 2000-Netzwerk stehen mehrere Tools von Drittanbietern zur Verfügung. Dazu zählen: Eine unter Umständen besser geeignete Alternative ist die Beauftragung eines Consulting-Service mit der Überprüfung der Sicherheitslücken. Der Vorteil eines Drittanbieter-Services besteht darin, dass Außenstehende keine Vorkenntnisse über das Netzwerk besitzen und für ihre Arbeit denselben Ausgangspunkt verwenden wie externe Angreifer. Aufgrund der Neutralität des Bewertungsteams liefern diese externen Bewertungen in vielen Fällen die nützlichsten Informationen. ZusammenfassungÜberwachung und Eindringungserkennung sind ein wesentlicher Bestandteil der Entwicklung einer effektiven Verteidigung für Ihre Umgebung. Im Rahmen der Risikoanalyse sollten Sie feststellen, wie umfangreich die Überwachung und Eindringungserkennung für Ihre Umgebung sein muss. Für die Eindringungserkennung mit mehreren Protokollen sollten Sie möglicherweise die Verwendung von Drittanbietertools in Erwägung ziehen. Weitere InformationenWeitere Informationen zur Verwendung von Benutzerrechten finden Sie unter Sichere Software programmieren von Michael Howard und David LeBlanc (Microsoft Press, ISBN: 3-86063-674-x). Partnerinformationen für ISA-Server: http://www.microsoft.com/isaserver/partners. ISA Server Solution Developers Kit (SDK):
http://www.microsoft.com/isaserver/techinfo/productdoc/2000/SDKdownload.asp. Weitere Informationen zur Gruppenrichtlinien-Verwaltungskonsole finden Sie unter:
http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx.
| |
