Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die für die Protokollierung sicherheitsrelevanter Ereignisse festgelegten Regelungen können mit Hilfe der Option " Richtlinien " des Benutzermanagers umgesetzt werden, wobei für den mittleren Schutzbedarf geeignete Regelungen im allgemeinen denen der folgenden Abbildung entsprechen:
Sofern auf einem Rechner Daten mit höheren Schutzanforderungen gespeichert und/oder verarbeitet werden, sollten zusätzlich noch erfolgreiche und abgewiesene Datei- und Objektzugriffe aufgezeichnet werden. Dabei sollte sich diese Aufzeichnung auf die Dateien, die besonders schutzwürdige Informationen enthalten, sowie auf die zur Verarbeitung dieser Dateien benötigten Programme beschränken, damit die Protokolldatei nicht so umfangreich wird, daß sie nicht mehr mit tragbarem Aufwand auswertbar ist.
Bei höheren Sicherheitsanforderungen sollten auch Zugriffe und Zugriffsversuche auf die Registrierung, zumindest für die Schlüssel HKEY_LOCAL_MACHINE und HKEY_USERS , aufgezeichnet werden. Dabei empfiehlt es sich, alle abgewiesenen Versuche aufzuzeichnen und von den erfolgreichen zumindest die folgenden, die zu Veränderungen der Registrierung führen können:
Dabei ist zu beachten, daß Zugriffe auf die Registrierung nur dann aufgezeichnet werden, wenn bei den allgemeinen Überwachungsrichtlinien die Überwachung der Datei- und Objektzugriffe aktiviert ist.
Bei der Überwachung der Zugriffe auf die Registrierung fallen erhebliche Mengen an Protokolldaten an, die auch ausgewertet werden müssen. Zudem wirkt sich die Protokollierung dieser Ereignisse u. U. negativ auf die Systemperformance aus. Es bietet sich unter Berücksichtigung der Sicherheitsanforderungen ggf. das folgende alternative Vorgehen an: Abgewiesene Zugriffsversuche auf die Schlüssel HKEY_LOCAL_MACHINE und HKEY_USERS werden so protokolliert, wie zuvor beschrieben. Die erfolgreichen Zugriffe auf diese Schlüssel werden nicht protokolliert. Vielmehr wird ein geeignetes Integritätssicherungsprogramm eingesetzt. So können Veränderungen an diesen Schlüsseln leicht erkannt werden. Der Nachteil dieser Methode ist aber, daß der Urheber von Veränderungen nicht erkannt werden kann.
Die Protokolldatei sollte durch Festlegung entsprechender Vorgaben mit dem Dienstprogramm Ereignisanzeige so groß angelegt werden, daß alle innerhalb eines vorgegebenen Zeitraums (beispielsweise in einer Woche) anfallenden Einträge mit Sicherheit abgespeichert werden können. Dabei sollte ein Sicherheitsspielraum vorgesehen werden, so daß in der Regel maximal nur etwa 30 % der Protokolldatei gefüllt werden. Nach Ablauf des vorgesehenen Zeitraums ist die Protokolldatei jeweils zu analysieren, zu archivieren und dann zu leeren, um Platz für neue Einträge zu schaffen.
Um Systemausfälle durch Vollschreiben der Protokolldatei zu vermeiden, sollte normalerweise eine der Optionen " Überschreiben falls notwendig " oder " Überschreiben älter als x Tage ", wobei für x die Länge des vorgesehenen Archivierungszyklus, z. B. 30 Tage, angegeben wird, gewählt werden:
Für Systeme, für die erhöhte Sicherheitsanforderungen bestehen, sollte statt dessen die Option " Nie überschreiben (Protokoll manuell löschen) " gewählt werden, was allerdings zum Systemstillstand bei Überlauf des Logs führt und dann einen entsprechenden Aufwand verursacht.
Die Auswertung der Protokolle erfolgt mit dem Verwaltungsprogramm Ereignisanzeige , das durch Auswahl geeigneter Filterregeln die gezielte Auswertung sicherheitskritischer Vorgänge ermöglicht:
Die Auswertung des Sicherheitsprotokolls sollte einer geeigneten, allgemein verbindlichen Vorgabe folgen (siehe M 2.64 Kontrolle der Protokolldateien und M 2.92 Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz ).
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .