Aktivieren der Überwachung

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien

Definieren von Ereignisprotokolleinstellungen

So ändern Sie mithilfe von Gruppenrichtlinien die Ereignisprotokolleinstellungen für eine Organisationseinheit

Zu überwachende Ereignisse

Anmeldeereignisse

Kontenmanagement

Objektzugriff

Verzeichnisdienstzugriff

Prozessnachverfolgung

Systemereignisse

Richtlinienänderung

Schützen von Ereignisprotokollen

Andere optimale Überwachungspraktiken

Planen von regelmäßigen Überprüfungen der Ereignisprotokolle

Die Wichtigkeit der Zeitsynchronisierung

Passive Erkennungsmethoden

Ereignisanzeige

Tool für Ausgabeereignisprotokolle (Dumpel.exe)

EventCombMT

Installieren des Tools

Ausführen des Tools EventComb

Angeben der zu suchenden Ereignisprotokolle und Ereignistypen

Sichern von Suchvorgängen

Dateien mit Suchergebnissen

Beispiele für das Verwenden von EventCombMT

So verwenden Sie EventCombMT zum Suchen nach Neustarts von Domänencontrollern

So überprüfen Sie Protokolleinträge

So verwenden Sie EventCombMT zum Suchen nach Kontosperrungen

Ereigniszusammenstellung

Microsoft Operations Manager

Lösungen von Drittanbietern zur Sammlung von Ereignisprotokollen

Aktive Erkennungsmethoden

Scannen von Netzwerken mithilfe von UrlScan mit ISA Server

Endpunktscannen mithilfe von UrlScan mit IIS

Empfehlungen für bestimmte UrlScan-Konfigurationen

Features von ISA Server zur Erkennung von Eindringversuchen

Drittanbieterlösungen zur Erkennung von Eindringversuchen

Beurteilung von Schwachstellen

Zusammenfassung

Originaltitel: Chapter 6 - Auditing and Intrusion Detection

Überwachung und Erkennung von Eindringversuchen

In einer sicheren Umgebung sollten Sie Überprüfungen in Bezug auf Eindringversuche und Angriffe durchführen. Nach dem Einrichten eines sicheren Systems kann nicht davon ausgegangen werden, dass keine Angriffe stattfinden können.

Das überwachen von Eindringversuchen ist aus mehreren Gründen sehr wichtig. Im Folgenden werden einige der Gründe genannt:

Eine funktionsfähige Computerumgebung ist der Gefahr möglicher Angriffe ausgesetzt. Unabhängig davon, wie hoch die Sicherheit Ihrer Computerumgebung ist, besteht immer das Risiko eines Angriffs.

Erfolgreiche Angriffe sind häufig das Ergebnis einer Reihe erfolgloser Angriffe. Wenn Sie Ihre Umgebung nicht auf Angriffe hin überprüfen, können Sie mögliche Angriffe nicht vor ihrer erfolgreichen Durchführung aufspüren.

Je früher Sie feststellen, dass ein erfolgreicher Angriff stattgefunden hat, desto einfacher ist die Schadensbegrenzung.

Nach einem Angriff müssen Sie wissen, welcher Schaden verursacht wurde.

Durch Überwachung und Erkennung von Eindringversuchen können Sie leichter ermitteln, wer für den Angriff verantwortlich ist.

Durch die Kombination von Überwachung und Erkennung von Eindringversuchen können Sie Informationen leichter zueinander in Beziehung setzen und Angriffsmuster erkennen.

Durch eine regelmäßige Überprüfung von Sicherheitsprotokollen können Sie unbekannte Probleme, die mit der Sicherheitskonfiguration zusammenhängen, leichter erkennen. Dazu gehören z. B. falsche Berechtigungen oder unsichere Einstellungen zur Kontosperrung.

Nach einer Angriffserkennung kann durch eine Überwachung ermittelt werden, welche Netzwerkressourcen gefährdet wurden.

In diesem Kapitel wird gezeigt, wie Sie die Umgebung überwachen sollten, so dass Sie mit größter Wahrscheinlichkeit alle Angriffe entdecken. Außerdem wird die Überwachung von Eindringversuchen erläutert, einschließlich der Verwendung von Systemen zur Erkennung von Eindringversuchen. Dabei handelt es sich um Software, mit der Verhaltensweisen gefunden werden, die auf Angriffe hindeuten.

Überwachung

Im Rahmen Ihrer Sicherheitsstrategie sollten Sie ermitteln, in welchem Ausmaß Ihre Umgebung überwacht werden sollte. Bei der Überwachung sollten sowohl erfolgreiche als auch erfolglose Angriffe erkannt werden, die eine Gefahr für Ihr Netzwerk darstellen oder für Ressourcen, die Sie bei Ihrer Risikobeurteilung als wertvoll eingestuft haben.

Wenn Sie eine Entscheidung über das Ausmaß der Überwachung treffen, sollten Sie Folgendes beachten: Je mehr Sie überwachen, desto mehr Ereignisse werden generiert und desto schwieriger kann es sein, wichtige Ereignisse ausfindig zu machen. Wenn Sie eine umfassende Überwachung durchführen, sollten Sie auf jeden Fall den Einsatz zusätzlicher Tools erwägen, wie z. B. Microsoft Operations Manager, damit Sie wichtigere Ereignisse herausfiltern können.

Überwachungsereignisse können in zwei Kategorien eingeteilt werden: in Erfolgsereignisse und Fehlerereignisse. Ein Erfolgsereignis zeigt an, dass ein Benutzer erfolgreich auf eine Ressource zugegriffen hat. Ein Fehlerereignis zeigt an, dass ein Versuch unternommen wurde, der fehlgeschlagen ist. Fehlerereignisse sind sehr nützlich bei der Überwachung von Angriffsversuchen in Ihrer Umgebung. Die Interpretation von Erfolgsereignissen ist sehr viel schwieriger. Die meisten erfolgreichen Überwachungsereignisse sind lediglich ein Indiz für normale Aktivitäten. Ein Angreifer, der erfolgreich auf ein System zugreifen kann, generiert jedoch ebenfalls ein Erfolgsereignis. Ein Ereignismuster ist in vielen Fällen ebenso wichtig wie die Ereignisse selbst. Eine Reihe von Fehlern und ein darauf folgendes Erfolgsereignis könnten z. B. auf einen versuchten Angriff hinweisen, der schließlich erfolgreich war.

Sie sollten Überwachungsereignisse möglichst immer mit anderen Informationen zu den Benutzern in Ihrer Umgebung in Beziehung setzen. Wenn Benutzer z. B. in Urlaub gehen, können Sie ihre Konten während ihrer Abwesenheit deaktivieren und die erneute Aktivierung überwachen.

Aktivieren der Überwachung

Die Überwachung wird mithilfe von Gruppenrichtlinien für einen Standort, eine Domäne, Organisationseinheit oder einen lokalen Computer aktiviert. Die Einstellungen der Überwachungsrichtlinien finden Sie in:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien

Sie sollten die Überwachung normalerweise auf der oberen Ebene der Active Directory-Hierarchie implementieren, um eine Einheitlichkeit in Bezug auf die Überwachungseinstellungen aufrechtzuerhalten. In diesem Handbuch wird die Überwachung auf der Ebene der Organisationseinheit der Mitgliedsserver und Domänencontroller implementiert (weitere Informationen finden Sie in Kapitel 4, "Sichern von Servern basierend auf ihrer Rolle").

Möglicherweise verfügen Sie über Server, die von der Domäne getrennt sein sollen. Die Überwachung kann auf diesen Computern konfiguriert werden, indem die Gruppenrichtlinien für den lokalen Computer bearbeitet oder das Dienstprogramm Auditpol.exe im Resource Kit zu Windows 2000 Server verwendet wird.

Anmerkung: Um auf die Gruppenrichtlinien für einen lokalen Computer zuzugreifen, müssen Sie MMC (Microsoft Management Console) starten. Fügen Sie anschließend das Snap-In Gruppenrichtlinien hinzu, und setzen Sie den Fokus des Snap-Ins auf den lokalen Computer.

Definieren von Ereignisprotokolleinstellungen

Jedes durch eine Überwachung generierte Ereignis wird in der Ereignisanzeige angezeigt. Sie sollten festlegen, wie das Ereignisprotokoll die generierten Ereignisse speichern soll. Alle Einstellungen können direkt in der Ereignisanzeige oder in den Gruppenrichtlinien definiert werden. Für dieses Handbuch wurden die Einstellungen für die Ereignisanzeige über Gruppenrichtlinien definiert. Einzelheiten zu den empfohlenen Einstellungen finden Sie in Kapitel 4, "Sichern von Servern basierend auf ihrer Rolle".

Möglicherweise möchten Sie die in den Gruppenrichtlinien definierten Einstellungen ändern oder die Einstellungen auf einer anderen Ebene anwenden, beispielsweise wenn das Sicherheitsprotokoll zahlreiche Einträge zu Servern mit IIS enthält, die dazu führen, dass das System heruntergefahren wird. Um dies zu verhindern, sollten die Gruppenrichtlinien auf der Ebene der Organisationseinheit der Server mit IIS geändert werden, um ein umfangreicheres Sicherheitsprotokoll zu erhalten. Sie können auch die Richtlinie ändern, damit das System nicht heruntergefahren wird, wenn das Sicherheitsprotokoll voll ist. Mit dem folgenden Verfahren können Sie Sicherheitsprotokolleinstellungen in den Gruppenrichtlinien definieren:

So ändern Sie mithilfe von Gruppenrichtlinien die Ereignisprotokolleinstellungen für eine Organisationseinheit

Wenn Sie die Einstellungen für die Ereignisanzeige aus den Gruppenrichtlinien entfernen, können Sie sie stattdessen direkt in der Ereignisanzeige definieren. Es wird jedoch empfohlen, die Einstellungen für die Ereignisanzeige in den Gruppenrichtlinien zu definieren, um sicherzustellen, dass Sie auf ähnlichen Computern über einheitliche Einstellungen verfügen.

Zu überwachende Ereignisse

Windows 2000 bietet mehrere Überwachungskategorien für Sicherheitsereignisse. Wenn Sie für Ihr Unternehmen eine Überwachungsstrategie entwerfen, müssen Sie entscheiden, ob die folgenden Kategorien der SicherheitsÜberwachungsereignisse eingeschlossen werden sollen:

Anmeldeereignisse

Kontoanmeldeereignisse

Objektzugriff

Verzeichnisdienstzugriff

Rechteverwendung

Prozessnachverfolgung

Systemereignisse

Richtlinienänderung

In den folgenden Abschnitten werden einige häufige Ereigniskennungen beschrieben, die zurückgegeben werden, wenn die Überwachung für bestimmte Kategorien aktiviert ist.

Anmerkung: Tools für die Suche nach und für das Sammeln von Ereignisprotokollinformationen werden im Abschnitt "Passive Erkennungsmethoden" weiter unten in diesem Kapitel beschrieben.

Anmeldeereignisse

Wenn Sie Anmeldeereignisse überwachen, wird jedes Mal, wenn sich ein Benutzer an einem Computer an- oder abmeldet, im Sicherheitsprotokoll dieses Computers ein Ereignis generiert. Auch wenn ein Benutzer eine Verbindung mit einem Remoteserver herstellt, wird im Sicherheitsprotokoll des Remoteservers ein Anmeldeereignis generiert. Anmeldeereignisse werden erstellt, wenn die Anmeldesitzung und das Token erstellt bzw. gelöscht werden.

Anmeldeereignisse können nützlich sein, um Versuche interaktiver Anmeldungen an Servern zu überwachen oder von einem bestimmten Computer ausgehende Angriffe zu untersuchen. Bei ErfolgsÜberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch erfolgreich ist. Bei FehlerÜberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch fehlschlägt.

Anmerkung: Zu den Anmeldeereignissen gehören sowohl Computer- als auch Benutzeranmeldeereignisse. Wenn versucht wird, von einem Windows NT- oder Windows 2000-basierten Computer eine Netzwerkverbindung herzustellen, werden für das Computerkonto und das Benutzerkonto jeweils separate Protokolleinträge für Sicherheitsereignisse generiert. Bei Windows 9x-basierten Computern enthält das Verzeichnis keine Computerkonten, und für Netzwerkanmeldeereignisse werden keine Einträge für Computeranmeldeereignisse generiert.

In den Basisrichtlinien der Mitgliedsserver und Domänencontroller ist die Überwachung für Erfolgs- und Fehleranmeldereignisse aktiviert. Daher werden die folgenden Ereigniskennungen für interaktive Anmeldevorgänge angezeigt sowie für Terminaldiensteanmeldungen, bei denen eine Verbindung mit Computern hergestellt wird, die Terminaldienste ausführen.

Tabelle 6.1: Im Ereignisprotokoll angezeigte Anmeldeereignisse

Die folgenden Sicherheitsereignisse können mithilfe von Einträgen für Anmeldeereignisse diagnostiziert werden:

Lokaler Anmeldeversuch ist fehlgeschlagen. Folgende Ereigniskennungen zeigen fehlgeschlagene Anmeldeversuche an: 529, 530, 531, 532, 533, 534 und 537. Die Ereigniskennungen 529 und 534 werden angezeigt, wenn ein Angreifer die falsche Kombination aus Benutzername und Kennwort für ein lokales Konto eingegeben hat. Diese Ereignisse können auch auftreten, wenn ein Benutzer sein Kennwort vergessen hat oder das Netzwerk über die Netzwerkumgebung durchsucht. In einer Umgebung mit großem Umfang kann es sich als schwierig erweisen, diese Ereignisse effektiv zu interpretieren. Grundsätzlich sollten Sie diesen Mustern nachgehen, wenn sie wiederholt oder gemeinsam mit anderen ungewöhnlichen Vorkommnissen auftreten. Beispielsweise kann die Ereigniskennung 528 infolge mehrerer Ereignisse der Kennung 529 mitten in der Nacht auf einen erfolgreichen Kenntwortangriff hinweisen (oder nur auf einen übermüdeten Administrator).

Kontomissbrauch. Die Ereigniskennungen 530, 531, 532 und 533 können den Missbrauch eines Benutzerkontos anzeigen. Die Ereigniskennungen weisen darauf hin, dass die Kombination Konto/Kennwort zwar richtig eingegeben wurde, andere Beschränkungen aber die erfolgreiche Anmeldung verhindern. Wenn möglich, sollten Sie diesen Ereignissen nachgehen und ermitteln, ob ein Missbrauch vorliegt oder ob die aktuellen Beschränkungen geändert werden müssen. Beispielsweise kann es nötig sein, die Anmeldezeiten bestimmter Konten zu verlängern.

Kontosperrungen. Die Ereigniskennung 539 zeigt an, dass das Konto gesperrt wurde. Das kann darauf hinweisen, dass ein Kennwortangriff fehlgeschlagen ist. Sie sollten nach früheren Ereignissen der Kennung 529 desselben Benutzerkontos suchen, um das Muster der versuchten Anmeldungen erkennen zu können.

Angriffe auf Terminaldienste. Terminaldienstesitzungen können im verbundenen Status verbleiben. Auch nach Beendung der Sitzung wird dadurch ein Fortsetzen aktiver Prozesse ermöglicht. Die Ereigniskennung 683 zeigt an, dass ein Benutzer sich nicht von der Terminaldienstesitzung abgemeldet hat. Die Ereigniskennung 682 zeigt an, dass eine Verbindung zu einer zuvor getrennten Sitzung aufgenommen wurde.

Kontoanmeldeereignisse

Wenn sich ein Benutzer an einer Domäne anmeldet, wird die Anmeldung auf einem Domänencontroller verarbeitet. Wenn Sie Kontoanmeldeereignisse auf Domänencontrollern überwachen, wird dieser Anmeldeversuch auf dem Domänencontroller aufgezeichnet, der das Konto überprüft. Kontoanmeldeereignisse werden bei der Überprüfung der Benutzerinformationen durch ein Authentifizierungspaket erstellt. Bei der Verwendung von Domäneninformationen werden die Kontoanmeldeereignisse nur in den Ereignisprotokollen der Domänencontroller generiert. Wenn die angegebenen Anmeldeinformationen lokale SAM-Datenbankinformationen (Security Accounts Manager oder Sicherheitskontenverwaltung) sind, werden die Kontoanmeldeereignisse im Sicherheitsereignisprotokoll des Servers erstellt.

Da das Kontoanmeldeereignis auf jedem gültigen Domänencontroller in der Domäne aufgezeichnet werden kann, müssen Sie zur Analyse sämtlicher Kontoanmeldeereignisse in der Domäne sicherstellen, dass Sie die Sicherheitsprotokolle domänencontrollerübergreifend konsolidieren.

Anmerkung: Vergleichbar den Anmeldeereignissen gehören auch zu den Kontoanmeldeereignissen sowohl Computer- als auch Benutzeranmeldeereignisse.

In den Basisrichtlinien der Mitgliedsserver und Domänencontroller ist die Überwachung für Erfolgs- und Fehlerereignisse bei der Kontoanmeldung aktiviert. Daher werden die folgenden Ereigniskennungen für Netzwerkanmeldevorgänge und Terminaldiensteauthentifizierung angezeigt:

Tabelle 6.2: Im Ereignisprotokoll angezeigte Kontoanmeldeereignisse

Für jedes dieser Ereignisse zeigt das Ereignisprotokoll detaillierte Informationen zu jeder speziellen Anmeldung an. Die folgenden Sicherheitsereignisse können mithilfe von Einträgen für Kontoanmeldeereignisse diagnostiziert werden:

Domänenanmeldeversuch ist fehlgeschlagen. Die Ereigniskennungen 675 und 677 zeigen fehlgeschlagene Domänenanmeldeversuche an.

Zeitsynchronisierungsaspekte. Die Zeit des Clientcomputers unterscheidet sich von der Zeit des Authentifizierungsdomänencontrollers um mehr als fünf Minuten (standardmäßig). Die Ereigniskennung 675 wird im Sicherheitsprotokoll angezeigt.

Angriffe auf Terminaldienste. Terminaldienstesitzungen können im verbundenen Status verbleiben. Auch nach Beendigung der Terminalserversitzung wird dadurch ein Fortsetzen aktiver Prozesse ermöglicht. Die Ereigniskennung 683 zeigt an, dass ein Benutzer sich nicht von der Terminaldienstesitzung abgemeldet hat. Die Ereigniskennung 682 zeigt an, dass eine Verbindung zu einer zuvor getrennten Sitzung aufgenommen wurde. Definieren Sie in der Konsole zur Terminaldienstekonfiguration in den Eigenschaften des RDP-TCP-Protokolls die Option Zeitraum zum Beenden getrennter Sitzungen, um Abbrüche zu verhindern oder abgebrochene Sitzungen zu beenden.

Kontenmanagement

Mit der Überwachung des Kontenmanagements (Account Management) wird festgelegt, wann Benutzer oder Gruppen erstellt, geändert oder gelöscht werden. Mit dieser Überwachung kann ermittelt werden, wann ein Sicherheitsprincipal erstellt wurde und wer die Aufgabe ausgeführt hat.

In den Basisrichtlinien der Mitgliedsserver und Domänencontroller ist die Überwachung für Erfolgs- und Fehlerereignisse beim Kontenmanagement aktiviert. Daher wird die Aufzeichnung der folgenden Ereigniskennungen im Sicherheitsprotokoll angezeigt:

Tabelle 6.3: Im Ereignisprotokoll angezeigte Kontenmanagementereignisse

Die folgenden Kontenmanagementereignisse können mithilfe von Sicherheitsprotokolleinträgen diagnostiziert werden:

Erstellung eines Benutzerkontos. Die Ereigniskennungen 624 und 626 zeigen das Erstellen und Aktivieren von Benutzerkonten an. Wenn die Kontoerstellung auf bestimmte Individuen in der Organisation begrenzt ist, können Sie diese Ereignisse verwenden, um Kontoerstellungen durch unberechtigte Benutzer zu erkennen.

Benutzerkontokennwort wurde geändert. Die änderung eines Kennwortes durch eine andere Person als den Benutzer kann darauf hindeuten, dass ein Konto von einem anderen Benutzer übernommen wurde. Achten Sie auf die Ereigniskennungen 627 und 628. Sie zeigen an, dass eine Kennwortänderung erfolgreich durchgeführt wurde. überprüfen Sie die Einzelheiten, um zu ermitteln, ob ein anderes Konto die änderungen veranlasst hat und ob das Konto ein Mitglied des Helpdesks oder eines anderen Serviceteams ist, das Benutzerkontokennwörter zurücksetzt.

Benutzerkontostatus wurde geändert. Es ist möglich, dass ein Angreifer seine Spuren zu verwischen versucht, indem er das zum Angriff verwendete Konto deaktiviert oder löscht. Alle Vorkommnisse der Ereigniskennungen 629 und 630 sollten untersucht werden, um sicherzustellen, dass sie autorisierte Transaktionen darstellen. Achten Sie auf die Ereigniskennung 629 kurz nach Vorkommnissen der Ereigniskennung 626. Dies kann darauf hindeuten, dass ein deaktiviertes Konto aktiviert, verwendet und anschließend wieder deaktiviert wurde.

änderung von Sicherheitsgruppen. Mitgliedschaftsänderungen für Domänenadministratoren, Administratoren, Operatorengruppen oder benutzerdefinierte globale, universale oder lokale Domänengruppen, denen administrative Funktionen übertragen wurden, sollten überprüft werden. änderungen globaler Gruppenmitgliedschaften werden in Ereignissen mit den Kennungen 632 und 633 aufgezeichnet. änderungen lokaler Domänengruppenmitgliedschaften werden in Ereignissen mit den Kennungen 636 und 637 aufgezeichnet.

Kontosperrung. Bei der Sperrung eines Kontos werden zwei Ereignisse auf dem Betriebsmaster des PDC-Emulators protokolliert. Ein Ereignis der Kennung 644 zeigt an, dass der Kontoname gesperrt wurde. Zur Angabe des gesperrten Kontos wird daraufhin ein Ereignis der Kennung 642 aufgezeichnet. Dieses Ereignis wird nur am PDC-Emulator protokolliert.

Objektzugriff

Sämtliche Objekte in einem Windows 2000-basierten Netzwerk mit einer Systemzugriffskontrollliste (SACL oder System Access Control List) können überwacht werden. Eine SACL enthält eine Liste der Benutzer und Gruppen, deren Aktionen auf dem Objekt überwacht werden sollen. Fast jedes Objekt, das ein Benutzer in Windows 2000 ändern kann, verfügt über eine SACL. Dies beinhaltet Dateien und Ordner auf NTFS-Laufwerken, Druckern und Registrierungsschlüssel.

Eine SACL setzt sich aus Zugriffskontrolleinträgen (ACEs oder Access Control Entries) zusammen. Jeder ACE enthält drei Informationen:

Den zu überwachenden Sicherheitsprincipal

Die zu überwachenden Zugriffstypen, Zugriffsmaske genannt

Ein Flag zur Kennzeichnung, ob der Zugriff zur Überwachung fehlgeschlagen ist, erfolgreich war oder beides

Wenn Ereignisse im Sicherheitsprotokoll aufgeführt werden sollen, müssen Sie zuerst Objektzugriffsversuche überwachen aktivieren und dann die SACL für jedes zu überwachende Objekt definieren.

In Windows 2000 werden Überwachungen generiert, sobald ein Handle zu einem Objekt geöffnet wird. Windows 2000 verwendet ein Kernelmodus-Sicherheitsteilsystem, das Programmen den Zugriff nur durch den Kernel gewährt. Dadurch wird verhindert, dass Programme das Sicherheitssystem umgehen. Da der Kernelspeicherplatz von Benutzermodusprogrammen isoliert ist, verweist ein Programm auf ein Objekt mithilfe einer Datenstruktur, die Handle genannt wird. Dies ist ein Beispiel für einen typischen Zugriffsversuch:

1.Ein Benutzer weist ein Programm zum Zugreifen auf ein Objekt an (z. B. Datei und dann öffnen).

2.Das Programm fordert vom System ein Handle zur Angabe der gewünschten Zugriffsart an (Lesen, Schreiben etc.).

3.Das Sicherheitsteilsystem vergleicht die DACL auf dem angeforderten Objekt mit dem Token des Benutzers und sucht nach Einträgen in der DACL, die entweder mit dem Benutzer oder einer Gruppe, zu der der Benutzer gehört, übereinstimmen. Zudem verfügt das Sicherheitsteilsystem über die Zugriffsrechte, die das Programm fordert.

4.Das System vergleicht die SACL auf dem angeforderten Objekt mit dem Token des Benutzers und sucht nach Einträgen in der SACL, die entweder mit den vom Programm zurückgegebenen Rechten oder den vom Programm angeforderten Rechten übereinstimmen. Wenn eine übereinstimmende FehlerÜberwachungs-ACE mit einem angeforderten, aber nicht gewährten Zugriff übereinstimmt, wird ein FehlerÜberwachungsereignis generiert. Wenn eine übereinstimmende ErfolgsÜberwachungs-ACE mit einem gewährten Zugriff übereinstimmt, wird ein ErfolgsÜberwachungsereignis generiert.

5.Wenn ein Zugriff gewährt wird, gibt das System ein Handle an das Programm zurück, das dann das Handle zum Zugreifen auf das Objekt verwenden kann.

An dieser Stelle muss darauf hingewiesen werden, dass während der Überwachung und der Generierung des Ereignisses noch keine Veränderungen am Objekt vorgenommen werden. Für die Auswertung von Überwachungsereignissen ist dies unbedingt erforderlich. SchreibÜberwachungen werden generiert, noch bevor in eine Datei geschrieben wird. LeseÜberwachungen werden generiert, noch bevor eine Datei gelesen wird.

Wie bei jeder Überwachung ist es auch hier wichtig, eine Zielvorgabe für die Überwachung von Objektzugriffen zu definieren. Bestimmen Sie in Ihrer Überwachungsplanung, welche Objekttypen überwacht werden müssen und welche Zugriffstypen (Erfolg, Fehler oder beide) Sie für jeden überwachten Objekttyp überwachen möchten. Ein allzu breit gefächerter Überwachungsansatz wird sich deutlich auf die Systemleistung auswirken und mehr Informationen als nötig oder sinnvoll sammeln.

Im Allgemeinen möchten Sie sicher alle Zugriffe auf die ausgewählten Objekte, auch von nicht vertrauenswürdigen Konten, überwachen. Hierzu fügen Sie die Gruppe Jeder zur SACL für die zu überwachenden Objekte hinzu. Mit der Überwachung von erfolgreichen Objektzugriffen sollten Sie vorsichtig umgehen, denn dies kann zu einer Vielzahl von Überwachungseinträgen im Sicherheitsprotokoll führen. Wenn Sie aber beispielsweise das Löschen einer wichtigen Datei untersuchen, werden Sie ErfolgsÜberwachungsereignisse überprüfen müssen, um zu ermitteln, welches Benutzerkonto die Datei gelöscht hat.

Die Basisrichtlinien der Mitgliedsserver und Domänencontroller legen sowohl die Erfolgs- als auch die FehlerÜberwachung für Objektzugriffe fest. Jedoch werden für die Objekte selbst keine SACLs festgelegt. Diese müssen Sie entsprechend den Bedürfnissen Ihrer Umgebung selbst festlegen. Die SACLs können direkt an den Objekten oder mithilfe von Gruppenrichtlinien definiert werden. Wenn sich das zu überwachende Objekt auf mehreren Computern befindet, sollten Sie die SACLs durch Gruppenrichtlinien definieren.

Durch die Überwachung des Objektzugriffs werden die folgenden Ereignisse im Sicherheitsprotokoll angezeigt:

Tabelle 6.4: Im Ereignisprotokoll angezeigte Objektzugriffsereignisse

Wenn Sie bestimmte Objektzugriffsereignisse suchen, werden Sie diese meist in Ereignissen mit der Ereigniskennung 560 finden. Suchen Sie in den Ereignisdetails, denn dort finden Sie nützliche Informationen zu den jeweiligen gesuchten Ereignissen. Tabelle 6.5 zeigt einige Aktionen, die Sie möglicherweise durchführen müssen, und bietet Informationen zu deren Ausführung.

Tabelle 6.5: Informationen zu SchlüsselÜberwachungsaktionen für Objektzugriffsereignisse der Kennung 560

Verzeichnisdienstzugriff

Aktive Verzeichnisobjekte sind mit SACLs verbunden und können so überwacht werden. Wie zuvor bereits erwähnt, können durch die Überwachung des Kontenmanagements auch Benutzer- und Gruppenkonten von Active Directory überwacht werden. Wenn Sie jedoch änderungen von Objekten in anderen Namenskontexten überwachen möchten (z. B. im Konfigurations- und Schemanamenskontext), muss der Objektzugriff überwacht und die SACL für die zu überwachenden Container definiert werden. Überwachungseinträge werden generiert, sobald in der SACL eines Active Directory-Objekts aufgeführte Benutzer auf dieses Objekt zugreifen möchten.

Die SACL für Container und Objekte kann im Konfigurationsnamenskontext (und in anderen Namenskontexten) mithilfe des Snap-Ins ADSIEDIT MMC geändert werden. Dies wird durch das Anzeigen des erforderlichen Kontextes in der ADSIEDIT-Konsole mit anschließender änderung der SACL für das Objekt im Dialogfeld Erweiterte Sicherheitseinstellungen erreicht.

Das Auffinden bestimmter Ereignisse für den Verzeichnisdienstzugriff gestaltet sich aufgrund der großen Volumen der stattfindenden (generell unbedenklichen) Ereignisse sehr schwierig. Deshalb überwachen Basisrichtlinien der Mitgliedsserver und Domänencontroller nur fehlgeschlagene Ereignisse des Verzeichnisdienstzugriffs. Dies trägt zur leichteren Identifizierung von Angreifern bei, die einen unautorisierten Zugriff auf Active Directory versuchen.

Ein versuchter Verzeichniszugriff wird im Sicherheitsprotokoll als Verzeichnisdienstereignis mit der Kennung 565 angezeigt. Nur durch Untersuchung der Details des Sicherheitsereignisses kann ermittelt werden, welchem Objekt das Ereignis zugeordnet werden kann.

Rechteverwendung

Benutzer in einer IT-Umgebung üben definierte Benutzerrechte aus. Wenn Sie sowohl Erfolge als auch Fehler der Rechteverwendung überwachen, wird bei jedem Ausüben von Benutzerrechten durch einen Benutzer ein Ereignis generiert.

Auch wenn Sie die Rechteverwendung überwachen, werden nicht alle Benutzerrechte überwacht. Standardmäßig sind die folgenden Benutzerrechte von der Überwachung ausgeschlossen:

Umgehen der durchsuchenden überprüfung

Debuggen von Programmen

Erstellen eines Tokenobjekts

Ersetzen eines Tokens auf Prozessebene

Generieren von SicherheitsÜberwachungen

Sichern von Dateien und Verzeichnissen

Wiederherstellen von Dateien und Verzeichnissen

Das Standardverhalten, das Sicherungs- und Wiederherstellungsrecht von Benutzern nicht zu überwachen, kann durch Aktivieren der Sicherheitsoption Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen der Gruppenrichtlinien außer Kraft gesetzt werden.

Die ErfolgsÜberwachung der Rechteverwendung erstellt eine sehr große Anzahl von Einträgen im Sicherheitsprotokoll. Deshalb überwachen Basisrichtlinien der Mitgliedsserver und Domänencontroller nur fehlgeschlagene Versuche bei der Rechteverwendung.

Die folgenden Ereignisse werden bei aktivierter Überwachung der Rechteverwendung generiert:

Tabelle 6.6: Im Ereignisprotokoll angezeigte Rechteverwendungsereignisse

Es folgenden einige Beispiele von Ereignisprotokolleinträgen, die bei der Verwendung bestimmter Benutzerrechte bestehen können:

Als Teil des Betriebssystems handeln. Achten Sie auf die Ereigniskennungen 577 oder 578 mit dem angezeigten Recht SeTcbPrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis kann auf einen Benutzerversuch hindeuten, Sicherheitsrechte durch Handeln als Teil des Betriebssystems zu erhöhen. Dies gilt beispielsweise für den GetAdmin-Angriff, bei dem ein Benutzer versucht hat, sein Konto zur Administratorengruppe hinzuzufügen, die dieses Recht verwendet. Die einzigen Einträge für dieses Ereignis sollten die für das Systemkonto und weitere dem Benutzerrecht zugewiesene Dienstkonten sein.

Systemzeit ändern. Achten Sie auf die Ereigniskennungen 577 oder 578 mit dem angezeigten Recht SeSystemtimePrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis kann auf einen Benutzerversuch hindeuten, die Systemzeit zu ändern, um den tatsächlichen Zeitpunkt eines Ereignisses zu verschleiern.

Erzwingen des Herunterfahrens von einem Remotesystem aus. Achten Sie auf die Ereigniskennungen 577 und 578 mit dem angezeigten Benutzerrecht SeRemoteShutdownPrivilege. Die Sicherheits-ID (SID), der das Benutzerrecht zugeordnet ist, und der Benutzername des Sicherheitsprincipals, der das Recht zugeordnet hat, sind in den Ereignisdetails enthalten.

Laden und Entladen von Gerätetreibern. Achten Sie auf die Ereigniskennungen 577 oder 578 mit dem angezeigten Recht SeLoadDriverPrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis kann auf einen Benutzerversuch hindeuten, eine unautorisierte Version eines Gerätetreibers oder ein Trojanisches Pferd zu laden.

Verwalten von Überwachungs- und Sicherheitsprotokollen. Achten Sie auf die Ereigniskennungen 577 oder 578 mit dem angezeigten Recht SeSecurityPrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis tritt auf, wenn das Ereignisprotokoll gelöscht wird und wenn Ereignisse zur Rechteverwendung in das Sicherheitsprotokoll geschrieben werden.

Herunterfahren des Systems. Achten Sie auf die Ereigniskennungen 577 mit dem angezeigten Recht SeShutdownPrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis tritt auf, wenn ein Versuch unternommen wurde, den Computer herunterzufahren.

übernehmen des Besitzes von Dateien und anderen Objekten. Achten Sie auf die Ereigniskennungen 577 oder 578 mit dem angezeigten Recht SeTakeOwnershipPrivilege. Das Benutzerkonto, das dieses Benutzerrecht verwendet hat, wird in den Ereignisdetails angezeigt. Dieses Ereignis kann auf einen versuchten Angriff mit dem Ziel hindeuten, aktuelle Sicherheitseinstellungen durch übernahme des Besitzes eines Objekts zu umgehen.

Prozessnachverfolgung

Wenn für Prozesse auf Windows 2000-basierten Computern detaillierte Prozessnachverfolgungsinformationen überwacht werden, werden im Ereignisprotokoll Versuche der Erstellung und Beendigung von Prozessen anzeigt. Auch der Versuch eines Prozesses, ein Handle zu einem Objekt zu generieren oder indirekten Zugriff auf ein Objekt zu erhalten, wird aufgezeichnet.

Aufgrund der sehr großen Anzahl der erstellten Überwachungseinträge ermöglichen die Basisrichtlinien der Mitgliedsserver und Domänencontroller keine Überwachung zum Zweck der Prozessnachverfolgung. Wenn Sie dennoch Erfolge und Fehler überwachen, wird die folgende Ereigniskennung im Ereignisprotokoll aufgezeichnet:

Tabelle 6.7: Im Ereignisprotokoll angezeigte Prozessnachverfolgungsereignisse

Systemereignisse

Systemereignisse werden generiert, wenn ein Benutzer oder ein Prozess Aspekte der Computerumgebung ändert. Sie können Versuche überwachen, Systemänderungen (wie das Herunterfahren des Computers) oder eine änderung der Systemzeit vornehmen.

Wenn Sie Systemereignisse überwachen, können Sie auch den Zeitpunkt des Löschens des Sicherheitsprotokolls überwachen. Dies ist sehr wichtig, denn Angreifer versuchen oft, ihre Spuren zu verwischen, nachdem sie änderungen in einer Umgebung vorgenommen haben.

Die Basisrichtlinien der Mitgliedsserver und Domänencontroller überwachen Ereignisse auf Erfolg oder Fehler. Dies führt zu folgenden Ereigniskennungen im Ereignisprotokoll:

Tabelle 6.8: Im Ereignisprotokoll angezeigte Systemereignisse

Die Ereigniskennungen können zur Erfassung einiger Sicherheitsprobleme verwendet werden:

Herunterfahren/Neustarten des Computers. Die Ereigniskennung 513 kennzeichnet das Herunterfahren von Windows. Es ist wichtig, den Zeitpunkt zu kennen, zu dem Server heruntergefahren oder neugestartet wurden. Es gibt eine Reihe legitimer Gründe, wie z. B. die Installation eines Treibers oder einer Anwendung, die einen Neustart erforderlich machen, sowie das Herunterfahren oder Neustarten zu Wartungszwecken. Jedoch kann auch ein Angriff den Neustart eines Servers erzwingen, um während des Starts Zugriff auf das System zu erhalten. Alle Fälle, in denen der Computer heruntergefahren wurde, sollten für einen Vergleich mit dem Ereignisprotokoll notiert werden.

Viele Angriffe führen zu einem Neustart des Computers. Anhand der Ereignisprotokolle können Sie ermitteln, wann ein Server neugestartet wurde und ob der Neustart ein geplanter Vorgang war. Die Ereigniskennung 513 kennzeichnet das Starten von Windows, ebenso wie eine Reihe anderer Ereignisse, die im Systemprotokoll automatisch generiert werden. Dies beinhaltet auch die Ereigniskennung 6005, die den Start des Ereignisprotokolldienstes kennzeichnet.

Achten Sie zusätzlich zu diesem Eintrag auf ein oder zwei unterschiedliche Ereignisprotokolleinträge im Systemprotokoll. Wenn das vorhergehende Herunterfahren ein geplanter Vorgang war (z. B. wenn der Administrator den Computer neugestartet hat), wird die Ereigniskennung 6006 (Der Ereignisprotokolldienst wurde beendet) im Systemprotokoll aufgezeichnet. Anhand der Details des Eintrags können Sie ermitteln, welcher Benutzer das Herunterfahren initiiert hat.

Wenn es sich hingegen um einen unerwarteten Neustart (Ereigniskennung 6008) handelt, war das vorhergehende Herunterfahren des Systems um Zeit am Datum unerwartet. Dies kann auf einen DoS-Angriff (Denial-of-Service) hinweisen, aufgrund dessen der Computer herunterfahren wurde. Jedoch kann der Grund für das Herunterfahren ebenso eine Unterbrechung der Stromzufuhr sein oder ein Fehler des Gerätetreibers.

Wenn der Neustart aufgrund eines Bluescreens erfolgt ist (Ereigniskennung 1001), wird dies im Systemprotokoll mit der Quellangabe Save Dump aufgezeichnet. Die eigentliche Bluescreen-Fehlermeldung kann in den Ereignisdetails überprüft werden.

Anmerkung: Damit die Einträge der Ereigniskennung 1001 eingeschlossen werden, muss das Kontrollkästchen Ereignis in das Systemprotokoll eintragen in den Wiederherstellungseinstellungen der Systemsteuerung aktiviert sein.

ändern oder Löschen des Sicherheitsprotokolls. Um nicht entdeckt zu werden, versucht ein Angreifer möglicherweise die Sicherheitsprotokolle zu ändern, die Überwachung während eines Angriffs zu deaktivieren oder die Sicherheitsprotokolle zu löschen. Wenn Ihnen im Systemprotokoll größere Zeitblöcke ohne Einträge auffallen, sollten Sie nach den Ereigniskennungen 612 und 517 suchen, um zu ermitteln, welcher Benutzer die Überwachungsrichtlinie geändert hat. Sämtliche Vorkommnisse mit der Ereigniskennung 517 sollten mit einem physischen Protokoll verglichen werden, das die Zeiten aufführt, zu denen das Sicherheitsprotokoll gelöscht wurde. Ein unautorisiertes Löschen des Sicherheitsprotokolls kann der Versuch sein, Ereignisse, die in dem vorherigen Sicherheitsprotokoll vorhanden waren, zu verbergen. In den Ereignisdetails ist der Name des Benutzers enthalten, der das Protokoll gelöscht hat.

Richtlinienänderung

Die Überwachungsrichtlinien definieren, welche Umgebungsänderungen überwacht werden, und sie helfen Ihnen beim Ermitteln von Angriffen auf Ihre Umgebung. Ein versierter Angreifer wird jedoch versuchen, die Überwachungsrichtlinien zu ändern, damit von ihm vorgenommene änderungen nicht überwacht werden.

Wenn Sie die Überwachung von Richtlinienänderungen aktivieren, werden änderungsversuche an den Überwachungsrichtlinien, anderen Richtlinien und Benutzerrechten verfolgt. Die Basisrichtlinien der Mitgliedsserver und Domänencontroller überwachen erfolgreiche und fehlgeschlagene Richtlinienänderungen. Diese Ereignisse werden im Ereignisprotokoll festgehalten.

Tabelle 6.9: Im Ereignisprotokoll angezeigte Richtlinienänderungsereignisse

Die zwei wichtigsten Ereignisse, auf die Sie hier achten sollten, sind die Ereignisse mit den Kennungen 608 und 609. Eine Reihe versuchter Angriffe kann zum Aufzeichnen dieser Ereignisse führen. Die folgenden Beispiele generieren ein Ereignis mit der Kennung 608, wenn ein Benutzerrecht zugeordnet wird, oder ein Ereignis mit der Kennung 609, wenn ein Benutzerrecht entfernt wird. In den Ereignisdetails ist die Sicherheits-ID (SID) aufgeführt, der das Benutzerrecht zugeordnet ist, sowie der Benutzername des Sicherheitsprincipals, der das Recht zugeordnet hat.

Als Teil des Betriebssystems handeln. Achten Sie auf die Ereigniskennungen 608 und 609 mit dem angezeigten Benutzerrecht seTcbPrivilege in den Ereignisdetails.

Hinzufügen von Arbeitsstationen zur Domäne. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeMachineAccountPrivilege in den Ereignisdetails.

Sichern von Dateien und Verzeichnissen. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeBackupPrivilege in den Ereignisdetails.

Umgehen der durchsuchenden überprüfung. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeChangeNotifyPrivilege in den Ereignisdetails. Dieses Benutzerrecht ermöglicht Benutzern das Durchsuchen einer Verzeichnisstruktur auch dann, wenn sie keine anderen Zugriffsrechte für das Verzeichnis besitzen.

Systemzeit ändern. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeSystemtimePrivilege in den Ereignisdetails. Dieses Benutzerrecht ermöglicht einem Sicherheitsprincipal das ändern der Systemzeit und somit das Verschleiern des Zeitpunktes eines Ereignisses.

Erstellen von dauerhaft freigegebenen Objekten. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeCreatePermanentPrivilege in den Ereignisdetails. Der Inhaber dieses Rechtes kann Datei- und Druckfreigaben erstellen.

Debuggen von Programmen. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeDebugPrivilege in den Ereignisdetails. Der Inhaber dieses Rechtes kann mit jedem beliebigen Prozess eine Verbindung herstellen. Dieses Recht ist standardmäßig nur Administratoren zugewiesen.

Erzwingen des Herunterfahrens von einem Remotesystem aus. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeRemoteShutdownPrivilege in den Ereignisdetails.

Erhöhen der Zeitplanungspriorität. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeIncreaseBasePriorityPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Recht kann Prozessprioritäten ändern.

Laden und Entladen von Gerätetreibern. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeLoadDriverPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Benutzerrecht könnte ein als Gerätetreiber getarntes Trojanisches Pferd laden.

Verwalten von Überwachungs- und Sicherheitsprotokollen. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeSecurityPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Benutzerrecht kann das Sicherheitsprotokoll anzeigen und löschen.

Ein Prozessebenentoken ersetzen. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeAssignPrimaryTokenPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Benutzerrecht kann den mit einem gestarteten Unterprozess verbundenen Standardtoken ändern.

Wiederherstellen von Dateien und Verzeichnissen. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeRestorePrivilege in den Ereignisdetails.

Herunterfahren des Systems. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeShutdownPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Benutzerrecht kann das System herunterfahren, um die Installation eines neuen Gerätetreibers zu initialisieren.

übernehmen des Besitzes von Dateien und anderen Objekten. Achten Sie auf Ereignisse mit dem angezeigten Benutzerrecht SeTakeOwnershipPrivilege in den Ereignisdetails. Ein Benutzer mit diesem Benutzerrecht kann auf beliebige Objekte oder Dateien auf dem NTFS-Datenträger zugreifen, indem er deren Besitz übernimmt.

Anmerkung: Diese Überwachungsereignisse zeigen nur, dass das Benutzerrecht einem bestimmten Sicherheitsprincipal zugewiesen wurde. Sie geben keinen Aufschluss darüber, ob der Sicherheitsprincipal mithilfe des jeweiligen Benutzerrechtes eine Aufgabe ausgeführt hat. Mithilfe der Überwachungsereignisse kann ermittelt werden, wann die Richtlinien für die Benutzerrechte geändert wurden.

Anmerkung: Weitere Informationen zur Verwendung von Benutzerrechten finden Sie im englischsprachigen Buch Writing Secure Code von Michael Howard und David LeBlanc (Microsoft Press, ISBN: 0-7356-1588-8).

Schützen von Ereignisprotokollen

Um Ereignisprotokolleinträge für zukünftige Referenzzwecke beizubehalten, sollten Sie unbedingt einige Schritte durchführen, um die Sicherheit der Ereignisprotokolle zu gewährleisten. Diese Schritte sollten Folgendes beinhalten:

Definieren Sie für die Speicherung, das überschreiben und die Wartung sämtlicher Ereignisprotokolle eine Richtlinie. Diese Richtlinie sollte alle erforderlichen Ereignisprotokolleinstellungen definieren, und sie sollte durch die Gruppenrichtlinie erzwungen werden.

Stellen Sie sicher, dass die Richtlinie auch die Behandlung von vollständigen Ereignisprotokollen und insbesondere des Sicherheitsprotokolls enthält. Ein vollständiges Sicherheitsprotokoll sollte das Herunterfahren des Servers erfordern. Für einige Umgebungen mag sich diese Praxis als hinderlich erweisen, aber sie sollte doch in Betracht gezogen werden.

Verhindern Sie Gastzugriffe auf die Ereignisprotokolle, indem Sie die Sicherheitsrichtlinieneinstellungen aktivieren, so dass lokale Gäste am Zugriff auf System, Anwendungen und Sicherheitsprotokolle gehindert werden.

Stellen Sie sicher, dass für Systemereignisse sowohl Erfolgs- als auch FehlerÜberwachung erfolgt. So können Sie ermitteln, ob Versuche unternommen wurden, den Inhalt des Sicherheitsprotokolls zu löschen.

Diese Einstellungen sind in den Gruppenrichtlinienobjekten der Mitgliedsserver und Domänencontroller in Kapitel 4, "Sichern von Servern basierend auf ihrer Rolle", definiert.

Zusätzlich zu diesen Schritten sollten Sie einige weitere praktische überprüfungen durchführen, um sicherzustellen, dass die Ereignisprotokollinformationen so sicher wie möglich sind:

Ihr Sicherheitsplan sollte auch die physische Sicherheit aller Server enthalten, um sicherzustellen, dass ein Angreifer während des Überwachungsprozesses keinen physischen Zugriff auf den Computer erhalten kann. Ein Angreifer kann Überwachungseinträge entfernen, indem er physische Ereignisprotokolldateien(EVT-Dateien) auf dem lokalen Festplatten-Teilsystem ändert oder löscht.

Implementieren Sie eine Methode zum Entfernen oder Speichern der Ereignisprotokolle an einem anderen Ort als dem physischen Server. Geplante Tasks können verwendet werden, um Ereignisprotokolle auf CD-Rs (einmal beschreibbare Datenträger, die mehrfach gelesen werden können) in regelmäßigen Abständen oder an anderen Speicherorten im Netzwerk als auf dem Server zu schreiben. Wenn die Sicherungen auf ein externes Medium wie Sicherungsbänder oder CD-Rs kopiert werden, sollte das Medium im Fall eines Brandes oder anderer Naturkatastrophen aus dem Geschäftsgebäude entfernt werden.

Anmerkung: Wird der Gastzugriff auf Ereignisprotokolle gesperrt, wird nur der Zugriff von Benutzern, die nicht Domänenmitglieder sind, auf Ereignisprotokolle verhindert. Standardmäßig können alle Benutzer in einer Domäne auf die System- und Anwendungsprotokolle zugreifen. Nur der Zugriff auf das Sicherheitsprotokoll unterliegt Beschränkungen. Sicherheitsprincipals mit dem zugewiesenen Benutzerrecht zum Verwalten von Überwachungs- und Sicherheitsprotokollen können auf das Sicherheitsprotokoll zugreifen. Standardmäßig ist dieses Recht nur Administratoren und Exchange-Servern des Unternehmens vorbehalten.

Andere optimale Überwachungspraktiken

Neben der Konfiguration der Überwachung gibt es andere Praktiken, die für eine effektive Überwachung der Sicherheit Ihrer Serverumgebung implementiert werden sollten. Dies schließt Folgendes ein:

Planen von regelmäßigen überprüfungen der Ereignisprotokolle

Überprüfen anderer Anwendungsprotokolldateien

Überwachen installierter Dienste und Treiber

Überwachen offener Ports

Planen von regelmäßigen überprüfungen der Ereignisprotokolle

Wie bereits erwähnt, sollten das Sicherheitsprotokoll und andere Ereignisprotokolle auf keine austauschbaren Datenträger geschrieben oder an einem zentralen Speicherort zur überprüfung konsolidiert werden. Die überprüfung der Protokolle ist der am häufigsten vergessene Überwachungsschritt.

Sie müssen sicherstellen, dass die Stellenbeschreibung einer Person oder eines Teams die überprüfung der Ereignisprotokolle als reguläre Aufgabe ausweisen. Die überprüfung von Ereignisprotokollen kann als tägliche oder wöchentliche Aufgabe geplant werden, abhängig vom Umfang der im Sicherheitsprotokoll gesammelten Daten. Dies basiert in der Regel auf dem im Netzwerk implementierten Überwachungsumfang. Je mehr Ereignisse in der Überwachung vorgesehen sind, desto größer wird das Ausmaß der Protokolleinträge sein. Wenn Sie regelmäßige Ereignisprotokollprüfungen planen, erreichen Sie damit Folgendes:

Schnellere Erkennung von Sicherheitsproblemen. Wenn eine tägliche überprüfung der Ereignisprotokolle durchgeführt wird, sollte kein Sicherheitsereignis älter als 24 Stunden sein. Dadurch werden Sicherheitslücken schnell erkannt und geschlossen.

Zuständigkeiten definieren. Wenn eine regelmäßige überprüfung der Ereignisprotokolle notwendig ist, kann der überprüfenden Person die Gesamtverantwortung für die Identifizierung potenzieller Angriffe übertragen werden.

Das Risiko von überschriebenen Ereignissen und Serverabstürzen minimieren. Wenn ein Ereignisprotokoll überprüft wird, können Ereignisse in der Protokolldatei zum Zweck zukünftiger überprüfungen archiviert und aus dem aktuellen Protokoll entfernt werden. Dies vermindert das Risiko der überfüllung von Ereignisprotokollen.

Überprüfen anderer Anwendungsprotokolldateien

Zusätzlich zur überprüfung der Windows 2000-Ereignisprotokolle nach Sicherheitsereignissen sollten auch die Protokolle anderer Anwendungen überprüft werden. Diese Anwendungsprotokolle können wichtige Informationen zu potenziellen Angriffen enthalten, die in den Ereignisprotokollen gefundene Informationen ergänzen können. Abhängig von Ihrer Umgebung kann es nötig sein, eine oder mehrere dieser Protokolldateien anzuzeigen:

Internet-Informationsdienste (IIS oder Internet Information Services). Mit Internet-Informationsdienste werden Protokolldateien erstellt, die Verbindungsversuche zu Web-, FTP-, NTP- (Network Time Protocol)und SMTP-Diensten nachverfolgen. Jeder Dienst, der in Internet-Informationsdienste ausgeführt wird, behält separate Protokolldateien bei und speichert die Protokolldateien im erweiterten Protokolldateiformat des W3C im Ordner %WinDir%\System32\Logfiles. Jeder Dienst behält außerdem einen separaten Ordner bei, um Protokollinformationen weiter aufzuschlüsseln. Internet-Informationsdienste kann auch so konfiguriert werden, dass die Protokolle in einer ODBC-kompatiblen Datenbank (wie z. B. Microsoft SQL Server) gespeichert werden.

Internet Security und Acceleration Server (ISA Server). ISA Server bietet Protokolle für Paketfilter, den ISA Server-Firewalldienst und den ISA Server-Webproxydienst. Ebenso wie bei Internet-Informationsdienste werden auch hier die Protokolle standardmäßig im erweiterten Protokolldateiformat des W3C gespeichert. Alternativ können sie aber auch in einer ODBC-kompatiblen Datenbank aufgezeichnet werden. Die ISA Server-Protokolldateien werden standardmäßig unter C:\Programme\Microsoft ISA Server\ISALogs gespeichert.

Paketfilterprotokolle: z. B.IPPEXT20020416.log

Firewalldienstprotokolle: z. B.FWEXT20020416.log

Webproxydienstprotokoll: z. B.WEBEXT20020416.log

Internetauthentifizierungsdienst (IAS). Der Internetauthentifizierungsdienst (IAS oder Internet Authentication Service) zentralisiert die Authentifizierung und Kontoführung für die Authentifizierung von Remotezugriffen mithilfe des RADIUS-Protokolls (Remote Authentication Dial-In User Service). Standardmäßig werden Anfragen zur Kontoführung, Anfragen zur Authentifizierung und periodische Statusanfragen in der Datei IASlog.log protokolliert. Diese Datei befindet sich im Ordner %WinDir%\System32\Logfiles. Alternativ kann die Protokolldatei auch in einem Datenbank-kompatiblen Format und nicht im IAS-Format gesichert werden.

Anwendungen von Drittanbietern. Viele Anwendungen von Drittanbietern implementieren lokale Protokollierungsfunktionen, um detaillierte Anwendungsinformationen bereitzustellen. Weitere Informationen finden Sie in der Hilfedatei Ihrer jeweiligen Anwendung.

Anmerkung: Alle Computer, die Protokolldateien beibehalten, sollten synchronisierte Uhren verwenden. Dadurch kann ein Administrator Ereignisse zwischen Computern und Diensten vergleichen und somit aufdecken, welche Aktionen durch einen Angreifer ausgeführt wurden. Weitere Informationen zur Zeitsynchronisierung finden Sie im Abschnitt "Die Wichtigkeit der Zeitsynchronisierung" weiter unten in diesem Kapitel.

Überwachen installierter Dienste und Treiber

Viele Angriffe gegen einen Computer werden durch Angriffe auf Dienste implementiert, die auf dem Zielcomputer installiert sind. Bei vielen Angriffen werden auch gültige Treiber durch Treiberversionen mit einem Trojanischen Pferd ersetzt, wodurch der Angreifer Zugriff auf den Zielcomputer erhält.

Mit den folgenden Tools können auf Computern installierte Dienste und Treiber überwacht werden:

Die Konsole Dienste. Die MMC-Konsole Dienste wird verwendet, um Dienste des lokalen Computers oder eines Remotecomputers zu überwachen und dem Administrator das Konfigurieren, Anhalten, Beenden, Starten und Neustarten aller installierten Dienste zu ermöglichen. Ermitteln Sie mithilfe dieser Konsole, ob Dienste, die für den automatischen Start konfiguriert wurden, nicht gestartet werden.

Netsvc.exe. Das Resource Kit zu Windows 2000 Server enthält dieses Befehlszeilentool. Es ermöglicht einem Administrator das Starten, Beenden, Anhalten, Fortsetzen und Abfragen des Status von Diensten von einem Remotecomputer aus mithilfe einer Befehlszeile.

SvcMon.exe. Dieses Tool überwacht Dienste auf lokalen Computern und Remotecomputern im Hinblick auf Statusänderungen (Starten oder Anhalten). Zum Erkennen dieser änderungen implementiert das Tool zur DiensteÜberwachung ein Abrufsystem. Wenn ein überwachter Dienst angehalten oder gestartet wird, werden Sie vom Tool zur DiensteÜberwachung per E-Mail benachrichtigt. Die Server, Überwachungsintervalle und Dienste müssen für das überwachen mithilfe des Tools DiensteÜberwachung (smconfig.exe) konfiguriert werden.

Drivers.exe. Dieses Tool zeigt alle installierten Gerätetreiber des Computers an, auf dem das Tool ausgeführt wird. Die Ausgabe des Tools beinhaltet Informationen zum Dateinamen des Treibers, zur Größe des Treibers auf dem Datenträger und zum Datum, an dem der Treiber verknüpft wurde. Anhand des Verknüpfungsdatums können kürzlich installierte Treiber identifiziert werden. Wenn ein aktualisierter Treiber nicht kürzlich installiert wurde, kann dies auf einen ersetzten Treiber hindeuten. Setzen Sie diese Informationen immer mit einem Systemneustartereignis in der Ereignisanzeige in Bezug.

Anmerkung: Nicht alle Dienste (wie z. B. der Arbeitsstationsdienst) können direkt angehalten werden; sie können jedoch abgefragt werden. Wenn der Benutzer viele aktive Verbindungen hat, können Sie die Dienste im Remoteverfahren nicht zum Herunterfahren zwingen. Die Dienste können jedoch angehalten oder abgefragt werden. Einige Dienste hängen von anderen Diensten ab. Derartige Dienste können erst dann heruntergefahren werden, wenn der jeweils abhängige Dienst bereits heruntergefahren wurde.

Überwachen offener Ports

Angriffe erfolgen oft durch Ausführen eines Portscans, wobei bekannte Dienste auf dem Zielcomputer identifiziert werden. Sie sollten auf die Überwachung offener Ports auf Ihren Servern viel Sorgfalt verwenden. In der Regel werden Sie die Ports selbst scannen müssen, um zu ermitteln, auf welche Ports zugegriffen werden kann.

Wenn ein Portscan durchgeführt wird, sollte dieser sowohl lokal auf dem Zielcomputer als auch von einem Remotecomputer aus durchgeführt werden. Wenn der Zugriff auf den Computer von einem öffentlichen Netzwerk aus erfolgen kann, sollte der Portscan von einem externen Computer aus durchgeführt werden, um sicherzustellen, dass Ihr Firewall den Zugriff nur auf gewünschte Ports gewährt.

Netstat.exe ist ein Befehlszeilen-Dienstprogramm, das offene Ports sowohl für TCP als auch für UDP anzeigen kann. Der Netstat-Befehl verwendet die folgende Syntax:

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

Dabei gilt:

-a. Zeigt alle Verbindungen und überwachenden Ports an.

-e. Zeigt Ethernet-Statistiken an. Kann mit der -s-Option kombiniert werden.

-n. Zeigt Adressen und Portnummern im numerischen Format an.

-p proto. Zeigt Verbindungen für das durch proto angegebene Protokoll an; proto kann TCP oder UDP sein. In Verbindung mit der -s-Option zur Anzeige von Protokollstatistiken kann proto TCP, UDP oder IP sein.

-r. Zeigt die Routingtabelle an.

-s. Zeigt Protokollstatistiken an. Standardmäßig werden Statistiken für TCP, UDP und IP angezeigt; die -p-Option kann verwendet werden, um eine Teilmenge der Standardmenge anzugeben.

interval. Zeigt ausgewählte Statistiken mit einigen Sekunden Pause zwischen jeder Anzeige erneut an. Drücken Sie STRG+C, um das erneute Anzeigen von Statistiken anzuhalten. Erfolgt keine Angabe, druckt netstat die aktuellen Konfigurationsinformationen einmal.

Wenn Sie die offenen TCP- und UDP-Ports des lokalen Computers aufführen, werden Portnummern basierend auf den Einträgen in der Dienstedatei im Ordner \%WinDir%\System32\Drivers\Etc\ in Namen übersetzt. Wenn Sie nur die Portnummern angezeigt bekommen möchten, verwenden Sie die -n-Option.

Wenn offene, nicht erkannte Ports entdeckt werden, sollten Sie diese untersuchen, um zu ermitteln, ob der entsprechende Dienst auf dem Computer benötigt wird. Wird der Dienst nicht benötigt, sollten Sie ihn deaktivieren oder entfernen, damit der Computer diesen Port nicht mehr überwacht. Einige Dienste wurden in den Basisrichtlinien der Mitgliedsserver und Domänencontroller deaktiviert. Diese Richtlinien sind in diesem Handbuch enthalten.

Weil viele Server durch Firewalls oder Paketfilterungsrouter geschützt werden, wird empfohlen, den Portscan von einem Remotecomputer aus durchzuführen. Viele verfügbare Tools von Drittanbietern (teilweise Freeware) können Remoteportscans durchführen. Der Remoteportscan zeigt, welche Ports für externe Benutzer verfügbar sind, sobald sie eine Verbindung zum Computer herstellen.

Anmerkung: Portscanvorgänge können auch verwendet werden, um Ihr Programm zur Erkennung von Eindringversuchen zu überprüfen und um sicherzustellen, dass es den ausgeführten Portscan erkennt. Weitere Informationen zu Systemen zur Erkennung von Eindringversuchen finden Sie im Abschnitt "Aktive Erkennungsmethoden" weiter unten in diesem Kapitel.

Überwachen von Eindringversuchen und Sicherheitsereignissen

Das überwachen von Eindringversuchen und Sicherheitsereignissen beinhaltet sowohl passive als auch aktive Tasks. Viele Eindringversuche werden erst nach dem eigentlichen Angriff bei der überprüfung der Protokolldateien entdeckt. Die Entdeckung nach erfolgtem Angriff wird häufig als passive Erkennung von Eindringversuchen bezeichnet. Nur durch eine überprüfung der Protokolldateien kann der Angriff erkannt und aufgrund der Protokollinformationen rekonstruiert werden.

Andere Eindringversuche können während des Angriffs erkannt werden. Diese Methode, bekannt als aktive Erkennung von Eindringversuchen, sucht nach bekannten Angriffsmustern oder Befehlen und verhindert die Ausführung dieser Befehle.

Dieser Abschnitt befasst sich mit Tools, die zur Implementierung beider Formen der Erkennung von Eindringversuchen verwendet werden können, um Ihr Netzwerk vor Angriffen zu schützen.

Die Wichtigkeit der Zeitsynchronisierung

Wenn sowohl Eindringversuche als auch Sicherheitsereignisse zwischen mehreren Computern überwacht werden, ist eine Synchronisierung der Computeruhren unabdingbar. Synchronisierte Zeit ermöglicht einem Administrator die Rekonstruktion der Ereignisse während eines Angriffs auf mehrere Computer. Ohne synchronisierte Zeit kann nur sehr schwer ermittelt werden, wann bestimmte Ereignisse eintrafen und in welcher Verbindung sie zueinander stehen. Weitere Informationen zur Zeitsynchronisierung finden Sie in Kapitel 3, "Verwalten von Sicherheit mit Windows 2000-Gruppenrichtlinien".

Passive Erkennungsmethoden

Passive Systeme zur Erkennung von Eindringversuchen beinhalten die manuelle überprüfung von Ereignisprotokollen und Anwendungsprotokollen. Die Überwachung beinhaltet die Analyse und Erkennung von Angriffsmustern in Ereignisprotokolldaten. Es gibt verschiedene Tools, Dienstprogramme und Anwendungen, die bei der Auswertung von Ereignisprotokollen hilfreich sein können. Dieser Abschnitt führt vor, wie jedes Tool zur Koordination von Informationen verwendet werden kann.

Ereignisanzeige

Das Windows 2000-Sicherheitsprotokoll kann mithilfe der MMC-Konsole Ereignisanzeige von Windows 2000 angezeigt werden. Die Ereignisanzeige ermöglicht die Anzeige der Anwendungs-, Sicherheits- und Systemprotokolle. Zum Suchen nach bestimmten Ereignissen in der Ereignisanzeige können Filter definiert werden.

So definieren Sie Filter in der Ereignisanzeige

1.Wählen Sie das betreffende Ereignisprotokoll in der Konsolenstruktur aus.

2.Wählen Sie im Menü Ansicht die Option Filter aus.

3.Wählen Sie die Filterparameter aus.

Im Dialogfeld Eigenschaften können Sie auf der Registerkarte Filter die folgenden Attribute für Filterereigniseinträge definieren:

Ereignistypen. Der Filter kann auf Informationen, Warnmeldungen, Fehler, ErfolgsÜberwachungen, FehlerÜberwachungen oder eine Kombination aus den Ereignistypen beschränkt werden.

Ereignisquelle. Der bestimmte Dienst oder Treiber, der das Ereignis generiert hat.

Kategorie. Der Filter kann auf bestimmte Kategorien von Ereignissen beschränkt werden.

Ereigniskennung. Wenn Ihnen die Kennung des gesuchten Ereignisses bekannt ist, kann der Filter die Auflistung auf diese bestimmte Ereigniskennung beschränken.

Benutzer. Sie können die Ereignisanzeige auf Ereignisse beschränken, die durch einen bestimmten Benutzer generiert wurden.

Computer. Sie können die Ereignisanzeige auf Ereignisse beschränken, die durch einen bestimmten Computer generiert wurden.

Datumsintervalle. Sie können die Ereignisanzeige auf Ereignisse beschränken, die in einen bestimmten Zeitrahmen fallen.

Wenn der Filter angewendet wird, kann die gefilterte Ereignisliste in eine durch Kommas oder Tabstopps getrennte Auflistung exportiert und anschließend in eine Datenbankanwendung importiert werden.

Tool für Ausgabeereignisprotokolle (Dumpel.exe)

Das Ausgabeereignisprotokoll ist ein Befehlszeilentool. Es ist enthalten im Resource Kit zu Windows 2000 Server - Die technische Referenz - Zusatzband 1 (Microsoft Press, ISBN: 3-86063-924-2). Es gibt ein Ereignisprotokoll für ein lokales System oder ein Remotesystem in einer durch Tabstopps getrennten Textdatei aus. Diese Datei kann anschließend zur weiteren Untersuchung in eine Kalkulationstabelle oder eine Datenbank importiert werden. Dieses Tool kann auch verwendet werden, um nach bestimmten Ereignistypen zu filtern oder diese auszufiltern.

Das Tool dumpel.exe verwendet die folgende Syntax:

dumpel -ffile [-s\\server] [-llog [-msource]] [-en1 n2 n3...] [-r] [-t] [-dx]

Wobei:

-f file. Gibt den Dateinamen der Augabedatei an. Es gibt keine Standardeinstellung für -f, d. h. Sie müssen die Datei angeben.

-s server. Gibt den Namen des Servers an, für den das Ereignisprotokoll ausgegeben werden soll. Führende umgekehrte Schrägstriche beim Servernamen sind optional.

-l log. Gibt an, welches Protokoll (System, Anwendung, Sicherheit) ausgegeben werden soll. Wird ein ungültiger Protokollname angegeben, wird das Anwendungsprotokoll ausgegeben.

-m source. Gibt an, in welche Quelle (z. B. Umleitung (rdr), Seriennummer usw.) Datensätze ausgegeben werden sollen. Es kann nur eine Quelle angegeben werden. Wird diese Option nicht verwendet, werden alle Ereignisse ausgegeben. Wenn eine Quelle verwendet wird, die nicht in der Registrierung enthalten ist, wird das Anwendungsprotokoll nach Datensätzen dieses Typs durchsucht.

-en1 n2 n3. Filtert nach der Ereigniskennung nn (bis zu zehn können festgelegt werden). Wenn die -r-Option nicht verwendet wird, werden nur Datensätze dieser Typen ausgegeben. Wenn -r verwendet wird, werden alle Datensätze außer Datensätze dieser Typen ausgegeben. Wird diese Option nicht verwendet, werden alle Ereignisse vom angegebenen Quellennamen ausgewählt. Diese Option kann nicht ohne die -m-Option verwendet werden.

-r. Gibt an, ob nach bestimmten Quellen oder Datensätzen gefiltert werden soll oder ob diese ausgefiltert werden sollen.

-t. Gibt an, dass einzelne Zeichenfolgen durch Tabstopps getrennt werden. Wenn -t nicht verwendet wird, werden Zeichenfolgen durch Leerzeichen getrennt.

-d x. Gibt Ereignisse der letzten x Tage aus.

Anmerkung:Dumpel.exe kann nur Inhalte von System-, Anwendungs- und Sicherheitsprotokolldateien abrufen. Dumpel.exe kann nicht verwendet werden, um Inhalte der Ereignisprotokolle des Datenreplikationsdienstes, des DNS- oder des Verzeichnisdienstes abzurufen.

EventCombMT

EventCombMT ist ein Multithreadtool zum Analysieren der Ereignisprotokolle mehrerer Server zur gleichen Zeit. Es erstellt für jeden Server einen separaten Ausführungsthread, der in den Suchkriterien enthalten ist. Das Tool ermöglicht Folgendes:

Eine oder mehrere zu findende Ereigniskennungen definieren. Sie können eine Ereigniskennung oder viele durch Leerzeichen getrennte Ereigniskennungen einschließen.

Einen Bereich von zu findenden Ereigniskennungen definieren. Die Endpunkte sind im Bereich eingeschlossen. Wenn Sie z. B. nach allen Ereignissen zwischen und einschließlich den Ereigniskennungen 528 und 540 suchen möchten, würden Sie den Bereich als 528 ID 540 definieren. Dieses Feature ist sehr nützlich, denn die meisten Anwendungen, die in das Ereignisprotokoll schreiben, verwenden einen sequenziellen Bereich von Ereignissen.

Die Suche auf bestimmte Ereignisprotokolle beschränken. Sie können die System-, Anwendungs- und Sicherheitsprotokolle durchsuchen. Wird die Suche lokal auf einem Domänencontroller ausgeführt, können Sie auch FRS-, DNS- und AD-Protokolle durchsuchen.

Die Suche auf bestimmte Ereignismeldungstypen beschränken. Sie können die Suche auf Fehler, Informationen, Warnungen, ErfolgsÜberwachungen, FehlerÜberwachungen oder Erfolgsereignisse beschränken.

Die Suche auf bestimmte Ereignisquellen beschränken. Sie können die Suche auf Ereignisse bestimmter Ereignisquellen beschränken.

In einer Ereignisbeschreibung nach einem bestimmten Text suchen. Sie können bei jedem Ereignis nach einem bestimmten Text suchen. Die ist nützlich, wenn Sie bestimmte Benutzer oder Gruppen überwachen möchten.

Anmerkung: Suchlogik (z. B. AND, OR oder NOT) kann dem Text nicht hinzugefügt werden. Begrenzen Sie auch keinen Text mit Anführungszeichen.

Definieren Sie vom aktuellen Datum und der aktuellen Zeit rückläufige Zeitintervalle. Dadurch können Sie die Suche auf Ereignisse der letzten Woche, des letzten Tages oder des letzten Monats beschränken.

Installieren des Tools

Zur Installation des Tools extrahieren Sie den Inhalt der selbstausführenden Datei SecurityOps.exe. Die Datei ist im Lieferumfang dieses Handbuchs enthalten. Durch dieses Vorgehen wird der Ordner C:\SecurityOps\EventComb erstellt. Sobald die Dateien extrahiert sind, kann das Tool EventCombMT durch Doppelklicken auf die Datei EventCombMT.exe ausgeführt werden.

Ausführen des Tools EventComb

Der erste Schritt zum Verwenden des Tools EventComb ist das Definieren der Computer, die in die Ereignisprotokollsuche eingeschlossen werden.

So fügen Sie Computern zur Suche hinzu

1.Das Dienstprogramm EventCombMT stellt die automatische Erkennung der richtigen Domäne im Feld Domain sicher. Wenn Sie Ereignisprotokolle in einer anderen Domäne durchsuchen möchten, geben Sie den neuen Domänennamen manuell im Feld Domain ein.

2.Zum Hinzufügen von Computern zur Suchliste klicken Sie mit der rechten Maustaste auf das Feld unter Select To Search/Right Click to Add.

Die folgenden Optionen stehen zur Verfügung:

Get DCs in Domain. Fügt alle Domänencontroller für die aktuelle Domäne zur Auflistung hinzu.

Add Single Server. Ermöglicht es Ihnen, den Namen eines Servers oder einer Arbeitsstation zur Liste hinzuzufügen.

Add all GCs in this domain. Ermöglicht es Ihnen, alle Domänencontroller in der ausgewählten Domäne hinzuzufügen, die als globale Katalogserver konfiguriert wurden.

Get All Servers. Fügt alle in der Domäne gefundenen Server mithilfe eines Suchdienstes hinzu. Die Server schließen alle Domänencontroller aus.

Get Servers from File. Ermöglicht es Ihnen, eine Datei zu importieren, die alle im Suchbereich enthaltenen Server auflistet. Jeder Server sollte auf einer separaten Zeile in die Textdatei eingegeben werden.

3.Sobald die Server zur Liste hinzugefügt wurden, müssen Sie die Server auswählen, auf denen die Suche ausgeführt werden soll. Sobald ein Server ausgewählt ist, wird er in der Liste hervorgehoben dargestellt. Mithilfe der Kombination STRG+Klicken können Sie mehrere Server auswählen.

Angeben der zu suchenden Ereignisprotokolle und Ereignistypen

Sobald Sie die Server ausgewählt haben, die in die Ereignisprotokollsuche eingeschlossen werden sollen, können Sie die Suche durch Auswahl der zu berücksichtigenden Ereignisprotokolle und Ereignistypen einschränken.

Im Dienstprogramm EventCombMT können Sie für die Suche aus den folgenden Ereignisprotokollen auswählen:

System

Application

Security

FRS (File Replication Service Log oder Dateireplikationsdienst-Protokoll)

DNS (DNS-Serverprotokoll)

AD (Verzeichnisdienstprotokoll)

Sie können auch die Ereignistypen auswählen, die bei der Suche berücksichtigt werden sollen:

Error. Wird in den Anwendungs- und Systemprotokollen aufgezeichnet und auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt.

Informational. Wird in den Anwendungs- und Systemprotokollen aufgezeichnet und auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt.

Warning. Wird in den Anwendungs- und Systemprotokollen aufgezeichnet und auch in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt.

Success Audit. Wird im Sicherheitsprotokoll oder im Anwendungsprotokoll angezeigt, wenn die Anwendung im Anwendungsprotokoll ErfolgsÜberwachungen registriert. Beispielsweise fügt Active Directory Migration Tool (ADMT) Protokolle über ErfolgsÜberwachungen zum Anwendungsprotokoll hinzu.

Failure Audit. Wird im Sicherheitsprotokoll oder im Anwendungsprotokoll angezeigt, wenn die Anwendung im Anwendungsprotokoll FehlerÜberwachungen registriert. Beispielsweise fügt ADMT Protokolle über FehlerÜberwachungen zum Anwendungsprotokoll hinzu.

Success. Der Typ tritt selten auf und wird in den Anwendungs- und Systemprotokollen aufgezeichnet ebenso wie in den FRS-, DNS- und Verzeichnisdienstprotokollen angezeigt. In der Ereignisanzeige werden Erfolgsereignisse als Informationsereignistyp angezeigt.

Anmerkung: Wenn Sie über genaue Angaben der Ereignisprotokolle und Ereigniskennungen sowie des Ereignistyps der Ereigniskennung verfügen, fügen Sie diese Informationen zu den Kriterien Ihrer Suche hinzu. Dies trägt zur Beschleunigung des Suchvorgangs bei.

Sichern von Suchvorgängen

EventCombMT ermöglicht Ihnen das Sichern und erneute Laden von Suchvorgängen. Dies kann hilfreich sein, wenn Sie mit EventCombMT häufig Ihre Server mit IIS nach einem Ereignissatz und Ihre Domänencontroller nach einem anderen durchsuchen.

Suchkriterien werden in der Registrierung unter folgendem Pfad gesichert: HKLM\Software\Microsoft\EventCombMT. Die Kriterien können einfach bearbeitet werden.

Dateien mit Suchergebnissen

Die Ergebnisse des Suchvorgangs werden standardmäßig im Ordner C:\Temp gesichert. Die Ergebnisse enthalten eine Zusammenfassungsdatei (EventCombMT.txt), und für jeden in der Ereignisprotokollsuche aufgeführten Computer wird eine separate Textdatei (ComputerName-EreignisProtokollName_LOG.txt) generiert. Diese unterschiedlichen Textdateien beinhalten alle Ihren Suchkriterien entsprechende Ereignisse aus den Ereignisprotokollen.

Beispiele für das Verwenden von EventCombMT

Zur Verdeutlichung der Verwendungsweise von EventCombMT erfahren Sie nun, wie das Tool so konfiguriert werden kann, dass Sie Neustarts des Domänencontrollers und Kontoabmeldevorgänge erkennen.

So verwenden Sie EventCombMT zum Suchen nach Neustarts von Domänencontrollern

1.Das Tool EventCombMT stellt die Konfiguration der Domäne mit dem richtigen Domänennamen sicher.

2.Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add unter dem Domänennamen. Klicken Sie anschließend auf Get DCs in Domain.

Anmerkung: Wenn Sie nach Ereignissen wie z. B. Kontoanmeldungs- und Kontenmanagementereignissen suchen, stellen Sie sicher, dass Sie alle Domänencontroller durchsuchen. Da Windows 2000 für das Kontenmanagement ein Multimastermodell verwendet, kann ein Konto auf jedem Domänencontroller in der Domäne hinzugefügt, geändert oder gelöscht werden. Ebenso kann die Authentifizierung von jedem beliebigen Domänencontroller in der Domäne überprüft werden. Deshalb können Sie nicht mit Sicherheit sagen, auf welchem Domänencontroller ein bestimmter Aktualisierungs- oder Authentifizierungsversuch vorgenommen wurde.

3.Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add, und klicken Sie anschließend auf Select All Servers in List.

4.Wählen Sie im Abschnitt Choose Log Files to search des Tools nur System aus.

5.Wählen Sie im Abschnitt Event Types des Tools Error und Informational aus.

6.Geben Sie im Feld Event IDs die folgenden Ereigniskennungen ein: 1001600560066008

7.Bevor Sie auf die Schaltfläche Search klicken, stellen Sie sicher, dass Ihre Suchkriterien wie in der Abbildung unten gezeigt angegeben sind. Klicken Sie anschließend auf Search.

Sobald die Suche abgeschlossen ist, werden die Resultate im Protokollverzeichnis angezeigt. Dieses Verzeichnis sollte sich nach Abschluss der Suche automatisch öffnen.

So überprüfen Sie Protokolleinträge

1.Wählen Sie Open Log Directory im Menü File aus.

2.Doppelklicken Sie im Ordner C:\Temp auf die Ausgabedatei eines Domänencontrollers, um die einzelnen Ereignisse anzuzeigen, die das Tool EventCombMT protokolliert hat. Die Ausgabe sollte ähnlich wie die folgende aussehen:

1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,The computer has rebooted from a bugcheck. The bugcheck was: 0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc). A dump was saved in: C:\WINDOWS\MEMORY.DMP.

6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,The Event log service was started.

6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,The previous system shutdown at 5:33:47 AM on 11/28/2001 was unexpected.

6005,INFORMATIONAL,EventLog,Tue Nov 27 14:10:53 2001,,The Event log service was started.

6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,The Event log service was stopped.

6005,INFORMATIONAL,EventLog,Tue Nov 27 10:11:37 2001,,The Event log service was started.

Die Ereignisse mit der Kennung 6006 zeigen ein geplantes Herunterfahren durch einen Benutzer mit Benutzerrechten zum Herunterfahren des Domänencontrollers an. Die Ereignisse mit der Kennung 6005 zeigen das Starten eines Ereignisprotokolldienstes an. Dies tritt auf, sobald ein Start erfolgt.

Die Ereignisse mit der Kennung 6008 und 1001 zeigen an, dass der Computer entweder ausgeschaltet wurde, ohne heruntergefahren worden zu sein, dass er neugestartet wurde, weil er gesperrt wurde, oder dass ein Bluescreen aufgetreten ist. Ist ein Ereignis mit der Kennung 1001 vorhanden, ist ein Bluescreen aufgetreten. Die zugeordneten Debuginformationen und Referenzen zur Debugdatei sind eingeschlossen.

Die Ereignisse, die vom Tool EventCombMT zurückgegeben werden, sollten mit der bekannten Zeit des Herunterfahrens verglichen werden. Unstimmige Ereignisse sollten untersucht werden, um sicherzustellen, dass kein Angriff auf den Server stattgefunden hat.

EventCombMT enthält einige vorkonfigurierte Suchvorgänge, die zum Suchen nach Sicherheitsereignissen verwendet werden können. Beispielsweise gibt es unter ihnen einen vordefinierten Suchvorgang, der nach Kontosperrungsereignissen sucht.

So verwenden Sie EventCombMT zum Suchen nach Kontosperrungen

1.Das Tool EventCombMT stellt die Konfigurierung der Domäne mit dem richtigen Domänennamen sicher.

2.Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add unter dem Domänennamen, und klicken Sie anschließend auf Get DCs in Domain.

3.Klicken Sie mit der rechten Maustaste auf das Feld Select to Search/Right Click to Add, und klicken Sie anschließend auf Select All Servers in List.

4.Klicken Sie im Menü Searches auf Built In Searches, und klicken Sie anschließend auf Account Lockouts. Das Dienstprogramm EventCombMT wird konfiguriert.

5.Klicken Sie auf Search.

6.Sobald die Suche abgeschlossen ist, werden die Resultate im Protokollverzeichnis angezeigt. Dieses Verzeichnis sollte sich nach Abschluss der Suche automatisch öffnen.

Anmerkung: Andere in EventCombMT enthaltene vordefinierte Suchvorgänge sind Dateireplikationsdienst-Suchen und Active Directory-Suchen nach doppelten SIDs und NETLOGON DNS-Registrierungsfehlern, Festplattenfehlern und DNS-Schnittstellenfehlern. Sie können auch eigene Suchvorgänge definieren und sichern.

Ereigniszusammenstellung

Eines der Hauptziele der Überwachung ist die Identifizierung von Angriffen auf Ihr Netzwerk. Ein Angreifer versucht möglicherweise, mehrere Computer und Geräte im Netzwerk zu beeinträchtigen. Sie müssen also in der Lage sein, Informationen von vielen Computern zu koordinieren und zu konsolidieren.

Wenn Ihre Protokolldienstprogramme in eine Datenbank importieren, ist die Koordination der Informationen vieler Protokolle einfacher. Solange die Uhrzeit auf allen Computer synchronisiert ist, können Sie nach Zeitfeldern sortieren und so das Nachverfolgen von Ereignissen in einem bestimmten Zeitraum erleichtern.

Die folgenden Abschnitte stellen einige der Tools und Dienstprogramme vor, die zum Sammeln von Ereignisprotokollinformationen an einer zentralen Stelle verwendet werden können.

Skripterstellung

Es können Skripts geschrieben werden, die Ereignisprotokollinformationen von Remotecomputern sammeln und sie an einer zentralen Stelle speichern. Durch die Verwendung der Skripterstellung können Sie mithilfe von Geplante Tasks bestimmen, wann Skripts ausgeführt werden und welche Schritte durchgeführt werden sollen, sobald das Ereignisprotokoll erfolgreich an die zentrale Stelle kopiert wurde.

Ein einfaches Beispiel ist die Erstellung einer Batchdatei, die die Datei Dumpel.exe aus dem Resource Kit zu Windows 2000 Server verwendet und mithilfe von Geplante Tasks in der Systemsteuerung in regelmäßigen Intervallen gestartet wird.

Das Resource Kit zu Windows 2000 Server - Die technische Referenz - Zusatzband 1 beinhaltet Eventquery.pl, ein Perl-Skript, das Ereignisse aus den Protokollen der Ereignisanzeige auf lokalen Computern und Remotecomputern unter Windows 2000 anzeigt und zur Suche nach bestimmten Ereignissen zahlreiche Filter bietet.

Anmerkung: Zur Verwendung dieses Skripts muss ActivePerl aus dem Resource Kit zu Windows 2000 Server installiert sein.

Microsoft Operations Manager

Microsoft Operations Manager 2000 bietet einen umfassenden Satz von Tools, die Unternehmen eine eingehende Analyse der vordefinierten Ereignismeldungen und LeistungsÜberwachung von Windows 2000 und den zugehörigen Anwendungen ermöglichen. Operations Manager kann mithilfe von Intelligent Agents auf Remotecomputern Ereignisse und Leistungsdaten an einer Stelle sammeln, speichern und melden. Administratoren wird so die zentrale überprüfung der gesammelten Informationen ermöglicht.

Das wichtigste Verwaltungspaket von Operation Manager sammelt im System auftretende Ereignisse, Anwendungen und Sicherheitsprotokolle und fasst die Ergebnisse in einem zentralen Ereignisrepository zusammen.

Anmerkung: Operations Manager speichert Informationen in einer SQL-Datenbank und bietet verschiedene Methoden des Abrufens und des Analysierens archivierter Daten. Administratoren können Operations Manager Administrator Console, Web Console oder Operations Manager Reporting zum Anzeigen, Drucken und Veröffentlichen von Daten verwenden. Jede Ansicht beinhaltet vordefinierte Ansichten zum Analysieren archivierter Daten und ermöglicht die Definition benutzerdefinierter Ansichten und Berichte.

Lösungen von Drittanbietern zur Sammlung von Ereignisprotokollen

Es stehen verschiedene Produkte von Drittanbietern zur Verfügung, die eine zentralisierte Sammlung und Überwachung von Ereignisprotokollen bieten. Bei der Bewertung von Drittanbieterprodukten sollten Sie die folgenden Features in Ihre Beurteilungskriterien aufnehmen:

Unterstützung für alle Windows 2000-Protokolle. Zusätzlich zur Unterstützung für Anwendungs-, Sicherheits- und Systemprotokolle sollten auch DNS Server-, Verzeichnisdienst- und Dateireplikationsdienst-Protokolle unterstützt werden.

Verwenden eines Datenbank-Backends. Das Tool sollte das Speichern der Ereignisprotokolle in einer Datenbankstruktur ermöglichen, so dass vorherige Ereignisprotokolleinträge zu Trendanalyse- und Korrelationszwecken zwischen mehreren Servern überwacht werden können.

Such- und Meldefunktionalität. Das Tool sollte Ihnen das Suchen nach bestimmten Ereignissen auf der Basis vorgegebener Kriterien bieten. Die Ergebnisse sollten in einer lesbaren Form dargestellt sein.

Es folgen einige Produkte von Drittanbietern, die Möglichkeiten zur Ereignissammlung beinhalten:

Event Log Monitor - TNT Software (http://www.tntsoftware.com/; englischsprachig)

Event Archiver - Dorian Software Creations (http://www.doriansoft.com/; englischsprachig)

LogCaster - RippleTech (http://www.rippletech.com/; englischsprachig)

Aktive Erkennungsmethoden

Aktive Systeme zur Erkennung von Eindringversuchen analysieren eingehenden Netzwerkverkehr auf der Anwendungsebene und suchen nach bekannten Angriffsmethoden und verdächtiger Nutzlast auf der Anwendungsebene. Wird ein verdächtiges Paket empfangen, löscht das System zur Erkennung von Eindringversuchen normalerweise das Paket und fügt der Protokolldatei einen Eintrag hinzu. Einige Systeme zur Erkennung von Eindringversuchen alarmieren zudem den jeweiligen Administrator, wenn ein schwerwiegender Angriff erkannt wird.

überwachen eines HTTP-Zugriffs mithilfe von URLScan

Wenn Ihre Organisation über Hosts für Websites verfügt, erhalten einige Ihrer Server eingehenden HTTP-Verkehr. Jedoch muss nicht der gesamte Verkehr rechtmäßig sein. UrlScan ist ein ISAPI-Filter zur Analyse eingehender HTTP-Pakete und kann verdächtigen Verkehr ablehnen.

UrlScan schützt einen Server vor Angriffen, indem HTTP-Anforderungen ausgewählter IIS-Dienstfeatures gefiltert und abgelehnt werden. UrlScan ist standardmäßig so konfiguriert, dass Anforderungen nach statischen HTML-Dateien (einschließlich Grafiken) akzeptiert werden. Die folgenden Anforderungstypen werden abgelehnt:

CGI-Seiten (EXE)

WebDAV

FrontPage-Servererweiterungen

Index Server

Internetdruckdienst

Serverseitige Includedateien

UrlScan kann als Endpunktsystem zur Erkennung von Eindringversuchen implementiert werden, indem der ISAPI-Filter auf allen Servern mit IIS des Netzwerkes installiert wird. Eine weitere Möglichkeit besteht darin, den ISAPI-Filter von UrlScan auf einem Computer mit ISA Server am Netzwerkperimeter als Netzwerksystem zur Erkennung von Eindringversuchen zu installieren. Wenn Sie einen Computer mit ISA Server als Firewall verwenden, sollten Sie eine Kombination der beiden Lösungen in Betracht ziehen. Hindern Sie am Netzwerkperimeter den gesamten unerwünschten Verkehr am Eindringen in Ihr Netzwerk. An den Endpunktservern mit IIS können mithilfe von URLScan Regelsätze basierend auf dem Format des am Webserver bereitgestellten Inhalts implementiert werden.

Es sollten am ISA Server entspechene Webveröffentlichungsregeln implementiert werden, die mithilfe von Zielsätzen nur die Anfragen durchlassen, die genauen URL und Pfad beinhalten.

UrlScan wird mithilfe einer Datei namens UrlScan.ini konfiguriert, die sich im Ordner %WinDir%\system32\inetsrv\Urlscan befindet. Diese Datei hat mehrere Abschnitte.

Der Abschnitt [Options] definiert, wie der Server mit IIS sowohl gültige als auch ungültige Webanforderungen behandelt. Die definierbaren Optionen beinhalten:

UseAllowVerbs. 0 oder 1 sind zugelassene Werte. Wenn 1 als Standardwert festgelegt ist, liest UrlScan den Abschnitt AllowVerbs der Datei UrlScan.ini und lehnt sämtliche Anforderungen ab, die ein HTTP-Verb beinhalten, das nicht explizit aufgeführt ist. Im Abschnitt AllowVerbs muss die Groß-/Kleinschreibung beachtet werden. Wenn 0 festgelegt ist, liest UrlScan den Abschnitt DenyVerbs der Datei UrlScan.ini und lehnt sämtliche Anforderungen ab, die ein aufgeführtes HTTP-Verb beinhalten. Im Abschnitt DenyVerbs muss die Groß-/Kleinschreibung nicht beachtet werden.

UseAllowExtensions. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, liest UrlScan den Abschnitt AllowExtensions der Datei UrlScan.ini und weist sämtliche Anforderungen ab, die eine mit dem URL verbundene Dateierweiterung beinhalten, die nicht explizit aufgeführt ist. Wenn 0 als Standardwert festgelegt ist, liest UrlScan den Abschnitt DenyExtensions der Datei UrlScan.ini und lehnt alle Anforderungen ab, in denen eine mit der Anforderung verbundene Dateierweiterung aufgeführt ist. In den Abschnitten AllowExtensions und DenyExtensions muss die Groß-/Kleinschreibung nicht beachtet werden.

NormalizeUrlBeforeScan. 0 oder 1 sind zugelassene Werte. Wenn 1 als Standardwert festgelegt ist, führt UrlScan die gesamte Analyse an den angeforderten URLs aus, nachdem IIS sie decodiert und normalisiert hat. Wenn 0 als Standardwert festgelegt ist, führt UrlScan die gesamte Analyse an den ursprünglichen URLs aus, wie sie vom Client gesendet wurden. Nur ein erfahrener Administrator mit einem umfangreichen Wissen über das Analysieren von URLs sollte diese Option auf 0 festlegen, da der Server mit IIS dadurch wahrscheinlich Kanonisierungsangriffen ausgeliefert wird, die die ordnungsgemäße Analyse von URL-Erweiterungen umgehen.

VerifyNormalization. 0 oder 1 sind zugelassene Werte. Wenn 1 als Standardwert festgelegt ist, überprüft UrlScan die Normalisierung der URL. Diese Aktion schützt vor Kanonisierungsangriffen, bei denen eine URL eine doppelt codierte Zeichenfolge enthält (beispielsweise ist die Zeichenfolge "%252e" ein doppelt codiertes '.'-Zeichen, denn "%25" decodiert ein '%'-Zeichen, die erste Decodierung von "%252e" ergibt "%2e", das in einem zweiten Schritt zu '.' decodiert werden kann). Wenn 0 festgelegt ist, wird diese überprüfung nicht durchgeführt.

AllowHighBitCharacters. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, lässt UrlScan jedes Byte im URL zu. Wenn 0 als Standardwert festgelegt wurde, lehnt UrlScan jede Anforderung ab, deren URL ein Zeichen außerhalb des ASCII-Zeichensatzes enthält. Dieses Feature kann als Schutz gegen Unicode- und UTF-8-basierte Angriffe dienen. Es wird jedoch auch rechtmäßige Anforderungen an Server mit IIS ablehnen, die keine ASCI-Codepage verwenden.

AllowDotInPath. 0 oder 1 sind zugelassene Werte. Wenn 0 als Standardwert festgelegt ist, lehnt UrlScan sämtliche Anforderungen ab, die mehrere Instanzen des Punktzeichens (.) verwenden. Wenn 1 festgelegt ist, führt UrlScan diesen Test nicht aus. Weil UrlScan auf einer Ebene arbeitet, auf der IIS den URL noch nicht analysiert hat, ist es nicht immer möglich zu ermitteln, ob das Punktzeichen eine Erweiterung markiert oder Teil des Verzeichnispfades oder Dateinamens des URL ist. In Bezug auf die Erweiterungsanalyse geht UrlScan immer davon aus, dass eine Erweiterung den Teil eines URL darstellt, der nach dem letzten Punkt in der Zeichenfolge beginnt und am ersten Fragezeichen oder Schrägstrich nach dem Punkt oder dem Ende der Zeichenfolge endet. Das Festlegen von AllowDotInPath auf 0 bietet Schutz für den Fall, dass ein Angreifer Pfadinformationen verwendet, um die richtige Erweiterung der Anforderung zu verbergen (z. B. "/path/TrueURL.asp/BogusPart.htm").

Anmerkung: Das Festlegen von AllowDotInPath auf 0 führt auch dazu, dass UrlScan sämtliche Anforderungen ablehnt, die einen Punkt in einem Verzeichnisnamen enthalten.

RemoveServerHeader. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, entfernt UrlScan die Serverheader in sämtlichen Antworten. Wenn 0 als Standardwert festgelegt ist, führt UrlScan diese Aktion nicht aus. Bitte beachten Sie, dass dieses Feature nur zur Verfügung steht, wenn UrlScan auf einem Computer mit IIS 4.0 oder höher installiert wird.

EnableLogging. 0 oder 1 sind zugelassene Werte. Wenn 1 als Standardwert festgelegt ist, protokolliert UrlScan seine Aktionen in einer Datei namens UrlScan.log. Diese Datei wird in demselben Verzeichnis erstellt, das die Datei UrlScan.dll enthält. Wenn 0 festgelegt ist, findet keine Protokollierung statt.

PerProcessLogging. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, hängt UrlScan an den Protokolldateinamen die Prozesskennung der Datei UrlScan.dll an, die den IIS-Prozess hostet (z. B. UrlScan.1234.log). Dieses Feature ist für IIS-Versionen hilfreich, die Filter in mehr als einem Prozess gleichzeitig hosten können. Wenn 0 als Standardwert festgelegt ist, ist die Datei UrlScan.log die Protokolldatei.

AlternateServerName. Der zugelassene Wert ist eine Zeichenfolge, und der Standardwert ist eine leere Zeichenfolge. Wenn diese Einstellung vorhanden ist (die Zeichenfolge nicht leer ist) und RemoveServerHeader auf 0 festgelegt ist, ersetzt IIS seinen Standardheader in allen Antworten mit dieser Zeichenfolge. Wenn RemoveServerHeader auf 1 festgelegt ist, hat AlternateServerName keine Auswirkung. Dieses Feature steht nur zur Verfügung, wenn UrlScan auf einem Computer mit IIS 4.0 oder höher installiert ist.

AllowLateScanning. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, registriert UrlScan sich selbst als Filter geringer Priorität. Dies ermöglicht anderen Filtern, änderungen am URL vorzunehmen, bevor UrlScan seine Analyse startet. (Beachten Sie, dass zusätzlich sichergestellt werden muss, dass UrlScan in der Filterliste auf dem Eigenschaftenblatt der ISAPI-Filter von MMC für den Server hinter den Filtern höherer Priorität aufgeführt ist.) Wenn 0 als Standardwert festgelegt ist, wird UrlScan als Filter höherer Priorität ausgeführt. Beachten Sie, dass FrontPage-Servererweiterungen erfordern, dass 1 als Standardwert festgelegt ist und UrlScan in der Filterliste zur Ladereihenfolge unten (vorzugsweise an letzter Position) aufgeführt wird.

PerDayLogging. 0 oder 1 sind zugelassene Werte. Wenn 1 als Standardwert festgelegt ist, erstellt UrlScan täglich eine neue Protokolldatei und hängt an den Protokolldateinamen ein Datum an (z. B. UrlScan.101501.log). Wenn 1 sowohl für PerDayLogging als auch für PerProcessLogging festgelegt ist, beinhaltet der Protokolldateiname das Datum und eine Prozesskennung (z. B. UrlScan.101501.123.log). Beachten Sie, dass mit PerDayLogging ein Protokoll für den aktuellen Tag erstellt wird (und das Protokoll für den vorherigen Tag geschlossen wird), sobald der erste Protokolleintrag für diesen Tag geschrieben wird. Wenn ein Tag keine UrlScan-Aktivität aufweist, wird für den Tag kein Protokoll erstellt. Wenn 0 festgelegt ist, öffnet UrlScan eine Datei namens UrlScan.log (oder UrlScan.xxx.log, wobei xxx die Prozesskennung ist, wenn 1 der Standardwert für PerProcessLogging ist).

RejectResponseUrl. Der zugelassene Wert ist eine Zeichenfolge. Der Standard ist /Rejected-By-UrlScan. Diese Zeichenfolge ist ein URL in folgendem Format: /Pfad/Dateiname.ext. Wenn UrlScan eine Anforderung ablehnt, wird der angegebene URL ausgeführt. Für die Analyse der Anforderung durch UrlScan muss sich der URL lokal auf der Website befinden. Der angegebene URL kann dieselbe Erweiterung haben wie der abgelehnte URL (z. B. ASP).

UseFastPathReject. 0 oder 1 sind zugelassene Werte. Wenn 1 festgelegt ist, ignoriert UrlScan RejectResponseUrl und gibt dem Client eine kurze 404-Antwort zurück, wenn eine Anforderung abgelehnt wird. Diese Vorgehensweise ist im Vergleich zur vollständigen Verarbeitung von RejectResponseUrl schneller. Wird diese Option verwendet, kann IIS jedoch keine standardmäßige 404-Antwort zurückgeben, oder viele Teile der Anforderung werden im IIS-Protokoll protokolliert. (Die UrlScan-Protokolldatei enthält noch immer vollständige Informationen zu abgelehnten Anforderungen.) Die Standardeinstellung ist das Deaktivieren von UseFastPathReject.

Der Abschnitt [AllowVerbs] beinhaltet eine Auflistung von HTTP-Verben (Methoden). Wenn UseAllowVerbs im Abschnitt [Options] auf 1 festgelegt ist, lehnt UrlScan sämtliche Anforderungen ab, die ein Verb enthalten, das hier nicht expliziert aufgeführt ist. Bei den Einträgen in diesem Abschnitt muss die Groß-/Kleinschreibung beachtet werden.

Der Abschnitt [DenyVerbs] beinhaltet eine Auflistung von HTTP-Verben (Methoden). Wenn UseAllowVerbs im Abschnitt [Options] auf 0 festgelegt ist, lehnt UrlScan sämtliche Anforderungen ab, die ein Verb enthalten, das hier aufgeführt ist. Bei den Einträgen in diesem Abschnitt muss die Groß-/Kleinschreibung nicht beachtet werden.

Der Abschnitt [DenyHeaders] beinhaltet eine Auflistung der Anforderungsheader, die abgelehnt werden, wenn sie in einer empfangenen Anforderung enthalten sind. Bei den Einträgen in diesem Abschnitt muss die Groß-/Kleinschreibung nicht beachtet werden.

Der Abschnitt [AllowExtensions] beinhaltet eine Auflistung von Dateierweiterungen. Wenn UseAllowExtensions im Abschnitt [Options] auf 1 festgelegt ist, werden alle Anforderungen abgelehnt, die einen URL mit einer Erweiterung enthalten, die hier nicht explizit aufgeführt ist. Bei den Einträgen in diesem Abschnitt muss die Groß-/Kleinschreibung nicht beachtet werden.

Anmerkung: Durch Hinzufügen einer leeren Erweiterung mithilfe eines Punktes und keines abschließenden Zeichens können Anforderungen ohne Erweiterungen angegeben werden (z. B. Anforderungen für eine Standardseite oder eine Verzeichnisauflistung).

Der Abschnitt [DenyExtensions] beinhaltet eine Auflistung von Dateierweiterungen. Wenn UseAllowExtensions im Abschnitt [Options] auf 0 festgelegt ist, werden alle Anforderungen abgelehnt, die einen URL mit einer Erweiterung enthalten, die hier aufgeführt ist. Bei den Einträgen in diesem Abschnitt muss die Groß-/Kleinschreibung nicht beachtet werden.

Anmerkung: Wenn Sie änderungen an der Datei UrlScan.ini vornehmen, müssen Sie den ISA PROXY3-Dienst erneut starten, um sicherzustellen, dass ISAPI-Filter erneut geladen werden.

überwachen/Kontollieren von HTTP-Zugriffen auf dem ISA Server

Auf dem ISA Server sollten die Webveröffentlichungsregeln, die die internen Webserver veröffentlichen, so konfiguriert werden, dass nur Anfragen die Regel passieren dürfen, die exakt (Server Name und Pfad) der Regel entsprechen. Weitere detaillierte Informationen zu dieser Thematik erhalten Sie unter der folgenden englischsprachigen Adresse: http://www.microsoft.com/technet/prodtechnol/isa/deploy/isanimda.asp

Scannen von Netzwerken mithilfe von UrlScan mit ISA Server

Wenn UrlScan auf einem Computer mit ISA Server am Netzwerkperimeter bereitgestellt wird, muss sichergestellt werden, dass die Einstellungen der Datei UrlScan.ini den von Webservern hinter dem Computer mit ISA Server benötigten Verkehr zulassen. Hierzu kann eine manuelle Konfiguration der Datei UrlScan.ini erforderlich sein.

Wenn die Einstellungen der Datei UrlScan.ini auf einem Computer mit ISA Server definiert werden, sollten Sie zuerst alle auf dem Computer mit ISA Server konfigurierten Webpublishingregeln dokumentieren. Diese Regeln legen genau fest, welcher HTTP- und HTTPS-Verkehr den Computer mit ISA Server durchlaufen kann.

Sobald der gesamte Webverkehr identifiziert ist, sollten Sie ihn profilieren, um die Konfiguration der Datei UrlScan.ini zu ermöglichen. Wenn Sie die Einstellungen definieren, denken Sie daran, dass die Erkennung von Perimetereindringversuchen den gesamten erforderlichen Verkehr zulassen muss. Wenn es zwischen den Sicherheitskonfigurationen von zwei Webservern zu Konflikten kommt, müssen die am wenigsten restriktiven Einstellungen für das Netzwerkperimeter bereitgestellt werden. Wenn Sie beispielsweise zwei Webserver haben, die durch einen Computer mit ISA Server geschützt sind, und einen Webserver, der als Host einer ASP-basierten Website dient, während der zweite Webserver nur als Host für statischen Inhalt dient, muss durch UrlScan (auf dem Computer mit ISA Server bereitgestellt) mit ASP verbundener Verkehr zu beiden Webservern weitergeleitet werden. Sie können den Verkehr auf dem Webserver, der als Host für den statischen Inhalt dient, auch sperren, indem Sie UrlScan auf diesem Webserver implementieren.

Endpunktscannen mithilfe von UrlScan mit IIS

Sie können bestimmte Einstellungen der Datei UrlScan.ini definieren, um den Anforderungen der einzelnen Webserver zu entsprechen.

URLScan ist für den Schutz von Webservern sehr nützlich, denn viele Angriffe weisen gemeinsame Merkmale auf: Sie verwenden eine ungewöhnliche Anforderung. Beispielsweise kann die Anforderung sehr lang sein, eine ungewöhnliche Aktion anfordern, mithilfe eines alternativen Zeichensatzes codiert sein oder Zeichenfolgen enthalten, die in rechtmäßigen Anforderungen selten vorkommen. Durch das Herausfiltern ungewöhnlicher Anforderungen bewahrt URLScan den Server vor potenziellem Schaden.

URLScan ist sehr flexibel. Der zugehörige Standardregelsatz schützt einen Server sowohl gegen alle IIS betreffenden bekannten Sicherheitsschwachstellen als auch potenziell gegen zusätzliche, noch unbekannte Angriffsmethoden. Die Standardregeln können geändert und neue Regeln hinzugefügt werden, um die Aktionen des Tools den Anforderungen eines bestimmten Servers anzupassen. Zusätzlich zum Standardregelsatz können während der Installation des ISAPI-Filters der Datei UrlScan.ini die folgenden Konfigurationen im Assistenten zum IIS-Lockdowntool ausgewählt werden.

Small Business Server 2000

Exchange Server 5.5 (Outlook-Webzugriff)

Exchange Server 2000 (OWA, PF-Verwaltung, IM, SMTP, NNTP)

SharePoint Portal Server

FrontPage-Servererweiterungen (SharePoint Team Services)

BizTalk Server 2000

Commerce Server 2000

Proxyserver

Statischer Webserver

Dynamischer Webserver (ASP-aktiviert)

Andere (Server, die keiner der oben aufgeführten Rollen entsprechen)

Server, die IIS nicht benötigen

Wenn Sie eine der vorkonfigurierten Vorlagen auswählen, wird eine vordefinierte Datei UrlScan.ini mit den optimalen Einstellungen bereitgestellt. Akzeptieren Sie die vordefinierte Datei UrlScan.ini, und stellen Sie zudem sicher, dass Sie die aktuellen Microsoft Knowledge Base-Artikel nach allen Anpassungen durchsuchen, die für bestimmte Konfigurationen der Datei Urlscan.ini erforderlich sind.

Empfehlungen für bestimmte UrlScan-Konfigurationen

Viele Knowledge Base-Artikel bieten empfohlene Konfigurationseinstellungen, wenn UrlScan in bestimmten Umgebungen verwendet wird. Wenn Sie die Konfigurationseinstellungen von UrlScan überprüfen, sollten Sie unbedingt die folgenden Artikel berücksichtigen:

Q309394HOW TO: Use URLScan with FrontPage 2000 (englischsprachig)

Q318290HOW TO: Use URLScan with FrontPage 2002 (englischsprachig)

Q309505IIS Lockdown and URLscan Configurations in Exchange Environment (englischsprachig)

Q309677XADM: Known Issues and Fine Turning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment (englischsprachig)

Q311595XCCC: How to Install and Configure Microsoft Security Tool Kit On a Microsoft Mobile Information Server (englischsprachig)

Q312376HOW TO: Configure URLScan to Allow Requests with a Null Extension in IIS (englischsprachig)

Q313131HOW TO: Use URLScan with Exchange Outlook Web Access in Exchange Server 5.5 (englischsprachig)

Q311862How to Use The IIS Lockdown Tool with Small Business Server (englischsprachig)

Q311350HOW TO: Create a Custom Server Type for Use with the IIS Lockdown Wizard (englischsprachig)

Features von ISA Server zur Erkennung von Eindringversuchen

ISA Server bietet ein integriertes System zur Erkennung von Eindringversuchen, das einen versuchten Angriff gegen Ihr Netzwerk erkennen kann und mit einem Satz vorkonfigurierter Aktionen oder Alarme reagiert. Zum Erkennen unerwünschter Eindringversuche werden Netzwerkverkehr und Protokolleinträge mit bekannten Angriffsmethoden durch ISA Server verglichen. Verdächtige Aktivitäten lösen Alarme aus, woraufhin eine Reihe von Aktionen durch ISA Server ausgeführt wird. Mögliche Aktionen beinhalten das Ausführen eines Programms, das Senden einer E-Mail-Nachricht, das Protokollieren des Ereignisses im Windows-Ereignisprotokoll, das Beenden und Starten von ISA Server-Diensten oder eine Kombination aus diesen Möglichkeiten.

Wenn die Erkennung von Eindringversuchen aktiviert ist, können Alarme für die folgenden Angriffe konfiguriert werden:

Vollständiger Port-Scan. Eine Methode, die von Angreifern zur Ermittlung offener Ports auf einem Zielcomputer oder in einem Zielnetzwerk verwendet wird. Das Modul zur Erkennung von Eindringversuchen erkennt eine Vielzahl von Versuchen der Verbindungsherstellung zu Ports und sendet einen Alarm, sobald die Anzahl der Verbindungsversuche den vom Administrator konfigurierten Schwellenwert überschreitet. ISA Server kann auch so konfiguriert werden, dass nur das Scannen bekannter Ports erkannt wird (1-2048).

IP-Half-Scan. Dieser Angriff ähnelt dem vollständigen Port-Scan-Angriff, nutzt jedoch die Tatsache, dass TCP-Kommunikation drei Schritte umfasst. Ein IP-Half-Scan sendet das dritte Paket des TCP-Dreiwegehandshakes nicht, um eine Entdeckung zu verhindern.

Land-Angriff. Einem Computer wird ein Paket mit einer gefälschten IP-Quelladresse und Portnummer gesendet, die der Zieladresse und dem Zielport entsprechen. Das gefälschte Paket lässt den Zielcomputer eine Schleife ausführen, die schließlich zum Absturz führt.

Ping-of-Death. Dieser Angriff beinhaltet eine große Anzahl außergewöhnlich großer ICMP-Echoanforderungspakete (Ping), die an einen Computer gesendet werden. Der Zielcomputer versucht, auf alle Pakete zu reagieren, wodurch ein Pufferüberlauf verursacht wird, der den Computer zum Absturz bringt.

UDP-Bomb. Ein UDP-Paket mit illegalen Werten in bestimmten Feldern führt bei einigen älteren Betriebssystemen zum Absturz, sobald das Paket empfangen wird. Wenn der Zielcomputer abstürzt, gestaltet sich die Ursachenforschung häufig schwierig.

Windows-Out-of-Band. Auch bekannt als WinNuke. Dies ist ein DoS-Angriff (Denial of Service), der verwendet werden kann, um Windows-Netzwerke funktionsunfähig zu machen. Ein erfolgreicher Angriff führt zum Verlust von Netzwerkverbindungen oder zum Absturz ungeschützter Computer.

Das Aktivieren der Eindringversuche ist beim ISA Server über die Eigenschaften der Paketfilter möglich. Die Einstellungen finden Sie unter den Eigenschaften für Paketfilter auf der Registerkarte Eindringversuchserkennung.

Zusätzliche Funktionalität zur Erkennung von Eindringversuchen kann entweder über Drittanbieterpartner für ISA Server bezogen werden oder selbst mithilfe der Anwendungsfilter-Schnittstellen aus dem Software Development Kit von ISA Server erstellt werden. Weitere Informationen finden Sie im gleichnamigen Abschnitt am Ende dieses Kapitels.

Anmerkung: Alarme bei Eindringversuchen können in der Managementkonsole von ISA Server im Ordner Internet Security & Acceleration Server\Server und Arrays\Servername\Überwachung\Alarme angezeigt werden.

Drittanbieterlösungen zur Erkennung von Eindringversuchen

Drittanbieterlösungen in Form von Systemen für die Erkennung von Eindringversuchen werden sowohl für Netzwerke als auch für Endpunktserver angeboten. Diese Drittanbieterlösungen bieten Protokollunterstützung über HTTP hinaus sowie Scanvorgänge nach bekannten Angriffsmethoden gegen Netzwerkcomputer.

Die folgenden Angriffstypen sollten von Systemen zur Erkennung von Eindringversuchen identifiziert werden:

Erkundungsangriffe. Dieser Angriffstyp tritt auf, wenn ein Angreifer ein Netzwerk auf der Suche nach Schwachstellen ausspioniert. Potenzielle Angriffe beinhalten sequenzielles Ping (Ping Sweeps), DNS-Zonenübertragung, E-Mail-Erkundung und das Downloaden von Websiteinhalten auf der Suche nach Skriptschwachstellen und Beispielseiten.

Ausnutzungsangriffe. Dieser Angriffstyp tritt auf, wenn Angreifer verborgene Features oder Fehler ausnutzen, um Zugriff auf das System zu erhalten. Meist identifiziert ein vorhergehender Ausnutzungsangriff die Angriffspunkte.

Denial-of-Service-Angriffe (DoS). Dieser Angriffstyp tritt auf, wenn ein Angreifer versucht, einen auf einem Computer ausgeführten Dienst durch Überlastung einer Ressource zum Absturz zu bringen. Zu diesen Ressourcen zählen z. B. Netzwerkverbindungen, die CPU oder das Festplatten-Teilsystem. Der Angreifer versucht nicht, Informationen zu sammeln, sondern setzt alles daran, Ihren Computer funktionsunfähig zu machen.

Ein gutes System zur Erkennung von Eindringversuchen sollte in der Lage sein, alle drei Angriffsformen zu erkennen. Zum Identifizieren von Angriffen werden zwei unterschiedliche Methoden verwendet:

Anomalieerkennung. Basiert auf der Auswahl eines Netzwerkcomputers als Basis. Abweichungen von der Basis können als Eindringversuch identifiziert werden. Beispielsweise kann ein Ansteigen von Anmeldeversuchen außerhalb der Spitzenzeiten auf einen gefährdeten Computer hinweisen. Der Vorteil der Anomalieerkennung ist, dass Angriffe auch ohne Vorwissen über die Ausführungsweise des Angriffs identifiziert werden können.

Signaturerkennung. Identifiziert Angriffe basierend auf bekannten Angriffsmustern. Beispielsweise verwenden viele Webserverangriffe gemeinsame Muster, die einfach zu identifizieren sind. Das Vergleichen des eingehenden Anwendungsverkehrs mit Signaturzeichenfolgen in einer Datenbank ermöglicht dem System zur Erkennung von Eindringversuchen die Identifizierung dieser Angriffe. Der Nachteil dieser Methode eines Systems zur Erkennung von Eindringversuchen liegt in der Notwendigkeit der regelmäßigen Aktualisierung der Signaturdatenbank, um auch neue Angriffssignaturen identifizieren zu können.

Im Folgenden sind einige der verfügbaren Produkte von Drittanbietern zum Testen und Bereitstellen aufgeführt:

BlackIce Defender (http://www.iss.net/products_services/hsoffice_protection/; englischsprachig)

CyberCop Scanner (http://www.pgp.com/products/cybercop-scanner/default.asp; englischsprachig)

ICEpac Security Suite (www.networkice.com/products/icepac_suite.html; englischsprachig)

Cisco Secure IDS (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm; englischsprachig)

eTrust Intrusion Detection (http://www3.ca.com/Solutions/Product.asp?ID=163; englischsprachig)

Snort (http://www.snort.org/; englischsprachig)

Tripwire (http://www.tripwiresecurity.com/; englischsprachig)

Foundstone Attacker (http://www.foundstone.com/; englischsprachig)

Beurteilung von Schwachstellen

Zusätzlich zur passiven und aktiven Erkennung von Eindringversuchen sollten Sie Schwachstellen regelmäßig beurteilen. Beurteilungen von Schwachstellen simulieren einen Angriff auf das Netzwerk und decken die Schwachstellen auf, die sich einem Angreifer bieten.

Das regelmäßige Beurteilen von Schwachstellen ermöglicht es Ihnen, einem Angreifer beim Auffinden von Schwachstellen zuvorzukommen und die Schwachstelle Ihres Netzwerkes vor Angriffen zu sichern.

Wenn Sie Tools zur Beurteilung von Schwachstellen prüfen, schließen Sie die folgenden Anforderungen in Ihren Entscheidungsprozess ein:

Mechanismus zur Aktualisierung der Datenbank. Das Tool sollte eine automatisierte Methode zur Aktualisierung der Signaturen für Schwachstellen bieten, so dass es nicht schon nach kurzer Zeit nicht mehr aktuell ist.

Minimieren von falschen Meldungen. Das Tool sollte falsche Meldungen herausfiltern, damit Ihr Unternehmen nicht unnötig Zeit mit der Untersuchung von nicht sicherheitsbezogenen Ereignissen verliert.

Möglichkeit des Speicherns von Ergebnissen in einer Datenbank. Das Tool sollte Ihnen das Archivieren von Scanergebnissen zum Zweck von Trendanalysen und zur Erkennung von Sicherheitsänderungen ermöglichen.

Lösungen zum Erkennen von Schwachstellen. Wenn eine Schwachstelle erkannt wird, sollte das Tool eine Dokumentation mit Informationen zum Schließen der Schwachstelle bieten oder Skripts, die zum Schutz vor Schwachstellen nötige Tasks ausführen.

Viele Tools von Drittanbietern bieten Möglichkeiten zur Beurteilung von Schwachstellen in einem Windows 2000-Netzwerk. Zu diesen Tools zählen folgende:

Symantec NetRecon 3.5 (enterprisesecurity.symantec.com)

BindView Security Advisor (http://www.bindview.com/; englischsprachig)

eEye Digital Security. Retina Network Security Scanner (http://www.eeye.com/; englischsprachig)

Internet Security Systems (ISS) Internet Scanner (http://www.iss.net/; englischsprachig)

Network Associates CyberCop (http://www.pgp.com/products/default.asp; englischsprachig)

Alternativ kann es sich auch als dienlich erweisen, die Beratungsdienstleistung eines Drittanbieters zur Beurteilung von Schwachstellen in Anspruch zu nehmen. Der Vorteil bei der Verwendung von Drittanbieterdiensten ist, dass die Teams kein Vorwissen über das Netzwerk besitzen und von demselben Ausgangspunkt wie ein externer Angreifer arbeiten. Häufig bieten diese externen Beurteilungen aufgrund der Neutralität des einschätzenden Teams die nützlichsten Informationen.

Zusammenfassung

Überwachung und Erkennung von Eindringversuchen sind Hauptbestandteile einer effektiven Verteidigung Ihrer Umgebung. Als Bestandteil Ihres Risikomanagementprozesses (Risk Management) sollten Sie ermitteln, in welchem Umfang eine Überwachung und Erkennung von Eindringversuchen für Ihre Umgebung erforderlich ist. Für die Erkennung von Eindringversuchen über mehrere Protokolle könnten Sie Tools von Drittanbietern erwägen.

Weitere Informationen

Externe Zeitserver:

ntp2.usno.navy.mil und tock.usno.navy.mil

Informationen zu ISA Server-Partnern:

http://www.microsoft.com/isaserver/partners (englischsprachig)

ISA Server Solution Developers Kit (SDK):

http://www.microsoft.com/isaserver/techinfo/productdoc/2000/SDKdownload.asp (englischsprachig)

Writing Secure Code (englischsprachig) vonMichael Howard und David LeBlanc; Microsoft Press, ISBN: 0-7356-1588-8

http://mspress.microsoft.de/mspress/product.asp?sku=0-7356-1588-8