Auditing mit Windows

Ehe nun gleich der Weg zum nächsten Online Shop führt, stellt sich die Frage, was das Betriebssystem selbst schon kann. Windows unterstützt eine Überwachung von Aktivitäten im System. Die Einrichtung ist allerdinge ein zweistufiger Prozess.

  • Aktivierung per Policy
    Zuerst muss pro Server (oder per GPO für mehrere Server) konfiguriert werden, welche Aktionen überhaupt überwacht werden sollen.
  • Aktivierung am Objekt
    Nach der generellen Aktivierung muss an jedem Objekt, welches überwacht werden soll, dies auch noch eingestellt wird. Dazu gibt es in den erweiterten Einstellungen des Objekts diese Möglichkeit, gefiltert nach Benutzern, Gruppen und Aktionen die Überwachung einzustellen.

Alle Audit-Vorgänge landen im Security-Eventlog.
Da verschiedene Vorgänge auch mehrere Events generieren, wird das Log sehr schnell sehr unübersichtlich. Aktivieren Sie daher nur dort Auditing, wo es auch wichtig ist und planen Sie den Einsatz einer Auswertesoftware, die solche Events aus dem Eventlog schnell ausliest.
Dies ist auch gegen Angreifer ein wichtiger Aspekt, da das Security-Eventlog gelöscht werden kann. Spezielle Produkte leiten solche Events direkt an ein abgeschottetes Auswertesystem weiter.

Schauen wir uns die verschiedenen Stellen in Windows an.

Auditing auf dem Server aktivieren

Neben den weichen Änderungen wie An/Abmeldungen sind natürlich Änderungen an Objekten sehr interessant. Leider werden die Zugriffe auf das Dateisystem, die Registrierung und anderen „Objekte“ unter dem Sammelbegriff „Audio Object Access“ zusammengefasst. Änderungen an Objekten im Active Directory sind ein eigener Punkt. Bestimmte Vorgänge wie das Anmelden und Abmelden selbst beziehen sich nicht direkt auf Dateien, Ordner oder Objektzugriffe im Active Directory. Aber auch diese Zugriffe können über die lokale Sicherheitsrichtlinie bzw. Gruppenrichtlinien aktiviert werden.

Hier sind nicht nur die Überwachungen für das Dateisystem (Objektzugriffsversuche) und die Kontenverwaltung (Verzeichnisdienstzugriff) ) zu aktivieren, sondern es ist durchaus ratsam, z.B. fehlerhafte Anmeldungen zu überwachen.

Diese Einträge können auch per Gruppenrichtlinien gesetzt werden:
921469, How to use Group Policy to configure detailed security auditing settings für Windows Vista-based and Windows Server 2008-based computers in a Windows Server 2008 domain, in a Windows Server 2003 domain, or in a Windows 2000 domain.

Wenn Sie auf dem Server oder den Servern das Auditing aktiviert haben, dann werden Sie nach kurzer Zeit schon entsprechende Einträge im Security Eventlog wiederfinden, denn per Default hat Windows schon einige Überwachungen konfiguriert, die nun auch aktiv sind. Schauen wir uns die verschiedenen Stellen einfach mal an.

Um darauf aussagekräftige Ergebnisse und Reports zu erstellen und eine gewisse Revisionssicherheit zu erhalten, sollten Sie dafür sorgen, dass die Einträge in diesem Eventlog z.B. in einer Datenbank konsolidiert werden. (z.B.: mit Syslog Überwachung, MOM2005 oder Eventlog auf Fehler 8528 überwachen.

Nur zur Sicherheit: Die nun folgenden Einstellungen werden nur aktiv, wenn Sie auf dem Server auch Auditing aktiviert haben.

NTFS Dateisystem

Über die Eigenschaften einer Datei oder eines Verzeichnisses können unter Security die erweiterten Einstellungen genutzt werden. Dort gibt es auch die oft übersehene Karteikarte „Auditing“. Sie können je Datei und je Ordner eine Überwachung der Zugriffe aktivieren.

Normalerweise ist diese Feld leer und hier sind die entsprechenden Einträge erforderlich, wenn die Datei oder Änderungen in einem Verzeichnis protokolliert werden sollen. Wenn sie "Jeder" addieren, dann wird jeder Zugriff überwacht. Sie können die Überwachung auch auf Mitglieder von Gruppen oder sogar einzelnen Personen herunter brechen.

Damit eignet sich diese Einstellung auch für die Überwachung von Prozessen und zur Fehlersuche, z.B. ob eine Datei wirklich angesprochen wird.

Änderungen an den Audit-Einstellungen an einer Datei oder einen Verzeichnis sind natürlich selbst überwachungsrelevant. Das Eventlog könnte folgendes zeigen:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Event ID:      4907
Task Category: Audit Policy Change
Level:         Information
Keywords:      Audit Success user:          N/A
Computer:      Srv01.msxfaq.de
Description:
Auditing settings on object were changed.

Subject:
               Security ID:        MSXFAQ\User2
               Account Name: user2
               Account Domain:     MSXFAQ
               Logon ID:           0x3a7a7678
Object:
               Object Server:  Security
               Object Type:    File
               Object Name:    C:\test\test.txt
               Handle ID:      0xe74
Process Information:
               Process ID:     0x1070
               Process Name: C:\Windows\explorer.exe
Auditing Settings:
               Original Security Descriptor:       
               New Security Descriptor:     S:ARAI(AU;IDSAFA;DCLCDT;;;WD)

Erfolgen dann Zugriffe auf die Verzeichnisse, kann dies im Eventlog nachvollzogen werden. Allerdings ist die Auswertung nicht immer einfach. Hier am Beispiel eines Schreibzugriffs.

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Event ID:      4663
Task Category: File System
Level:         Information
Keywords:      Audit Success user:          N/A
Computer:      Srv01.msxfaq.de
Description:
An attempt was made to access an object.

Subject:
               Security ID:        MSXFAQ\User2
               Account Name: user2
               Account Domain:     MSXFAQ
               Logon ID:           0x3a7a7678
Object:
               Object Server:  Security
               Object Type:    File
               Object Name:    C:\test\test.txt
                Handle ID:     0x1054
Process Information:
                Process ID:         0x1070
                Process Name: C:\Windows\explorer.exe
Access Request Information:
                Accesses:            WriteData (or AddFile)
                Access Mask:    0x2

Nicht immer sind Zugriffe eindeutig zu erkennen. Wenn Sie z.B: eine Datei löschen, dann sind dies drei Einträge im Eventlog, von denen aber keiner genau sagt, dass dies ein Löschvorgang war

Windows Registry

Oft nicht bekannt ist, dass auch auf Schlüssel der Registrierung Rechte und Überwachungen eingerichtet werden können. Bis Windows 2003 mussten Sie dazu statt REGEDIT den REGEDT32.EXE starten. Seit Vista/Windows 2008 gibt es nur noch REGEDIT.

Über die "Berechtigungen" und dann wieder über "Erweitert" können Sie die Karteikarte "Überwachung" erreichen:

Damit werden dann auch Änderungen und Zugriffe auf die ausgewählten Schlüssel und Werte im Security-Eventlog überwacht.

Weitere Links