logo

Überwachung von Windows-Systemen

Die kontinuierliche Überwachung der Aktivitäten in Ihrem Netzwerk gehört zu den wichtigsten Best Practices für die Sicherheit, da Sie auf diese Weise potenziell schädliche Aktivitäten frühzeitig erkennen und Maßnahmen zur Vermeidung von Datenschutzverletzungen, Systemausfällen und Compliance-Verstößen ergreifen können. Zu den wichtigsten Methoden der Windows-Überwachung zählen:

  • Ereignisprotokolle und die Weiterleitung von Ereignisprotokollen
  • Überwachung und erweiterte Überwachung
  • Überwachungssammeldienste
  • Protokollierung mit Windows PowerShell

Ereignisprotokolle und die Weiterleitung von Ereignisprotokollen

In Ereignisprotokollen werden die Aktivitäten auf einem bestimmten Computer erfasst. Wenn Sie die Überwachung richtig konfigurieren, werden nahezu alle sicherheitsrelevanten Ereignisse in der Ereignisanzeige protokolliert. In diesem Fall sind die Ereignisprotokolle das Erste, das Sie bei einer Untersuchung von IT-Sicherheitsvorfällen überprüfen. Diese beiden Tipps sollten Sie befolgen:

  • Wählen Sie die maximale Größe für Ereignisprotokolle (4 GB), um die Gefahr zu mindern, dass Einträge überschrieben werden, weil das Protokoll voll ist.
  • Archivieren Sie Ihre Ereignisprotokolle, damit Sie bei einem Angriff durch Überprüfen älterer Protokolle feststellen können, wann genau und wie Angreifer das System kompromittieren konnten.

Weiterleitung von Ereignisprotokollen

Sie sollten Ereignisprotokolle regelmäßig von Ihrem Computer auf ein anderes System übertragen, da Angreifer häufig Einträge im Ereignisprotokoll löschen, um ihre Spuren zu verwischen. Mit der Windows-Funktion zur Weiterleitung von Ereignisprotokollen können Sie Ereignisprotokolle automatisch von allen Computern auf ein vorab festgelegtes System weiterleiten (die sogenannte Ereignissammlung), auf dem sie sicher gespeichert werden. Es gibt zwei Arten von Ereignisabonnements:

  • Quellinitiierte Abonnements ermöglichen das Definieren eines Ereignisabonnements auf dem Ereignissammlungs-Computer, ohne die Quellcomputer angeben zu müssen. Mithilfe einer Gruppenrichtlinie steuern Sie dann, welche Quellcomputer Ereignisse an die Ereignissammlung weiterleiten.
  • Sammlungsinitiierte Abonnements ermöglichen das Erstellen eines Ereignisabonnements, das die Quellcomputer festlegt, von denen Ereignisprotokolle weitergeleitet werden. Weitere Informationen zur Konfiguration der Weiterleitung von Ereignisprotokollen finden Sie in diesem Artikel.

Überwachung und erweiterte Überwachung

Mit Überwachungsrichtlinien können Sie verschiedene Aktivitäten im Windows-Sicherheitsprotokoll aufzeichnen. Anschließend können Sie diese Überwachungsprotokolle sichten, um Probleme zu identifizieren, die weiter untersucht werden müssen. Durch die Überwachung erfolgreicher Aktivitäten lassen sich Änderungen dokumentieren, sodass Sie im Falle eines Problems feststellen können, welche Änderung einen Ausfall oder eine Datenschutzverletzung verursacht hat. Die Protokollierung fehlgeschlagener Versuche ermöglicht das Erkennen von Hacker-Angriffen mit böswilliger Absicht oder von Zugriffsversuchen unbefugter Benutzer auf Unternehmensressourcen.

In Ihrer Überwachungsrichtlinie legen Sie fest, welche Kategorien von sicherheitsrelevanten Ereignissen Sie überwachen möchten. Die Richtlinieneinstellungen können Sie unter „Group Policy Computer Settings“ -> „Policies“ -> „Windows settings“ -> „Security settings“ -> „Local policies“ -> „Audit policy“ konfigurieren. Die folgenden Grundeinstellungen lassen sich aktivieren:

  • Audit account logon events: Erstellt ein Ereignis, sobald ein Benutzer oder Computer versucht, sich über ein Active Directory-Konto zu authentifizieren.
  • Audit account management: Überwacht Ereignisse wie die Erstellung, Löschung oder Änderung von Benutzerkonten, Gruppenkonten oder Computerkonten und das Zurücksetzen von Benutzerkennwörtern.
  • Audit directory service access: Überwacht Ereignisse, die in der Zugriffssteuerungsliste des Systems festgelegt sind (z. B. Berechtigungen).
  • Audit logon events: Erstellt ein Ereignis, wenn sich ein Benutzer interaktiv (lokal) oder über das Netzwerk (remote) auf einem Computer anmeldet.
  • Audit object access: Überwacht den Zugriff auf Objekte wie Dateien, Ordner, Registrierungsschlüssel und Drucker, für die eigene SACLs festgelegt sind.
  • Audit policy change: Überwacht Änderungen an den Richtlinien für das Zuweisen von Benutzerrechten, Überwachungsrichtlinien und Vertrauensrichtlinien.
  • Audit privilege use: Überwacht Versuche, Berechtigungen oder Benutzerrechte zu verwenden. Sie können festlegen, ob Sie nur erfolgreiche Versuche, nur fehlgeschlagene Versuche oder beides überwachen möchten.
  • Audit process tracking: Überwacht prozessrelevante Ereignisse wie die Erstellung und Beendigung von Prozessen, die Handleduplizierung und den indirekten Objektzugriff.
  • Audit system events: Überwacht das Neustarten und Herunterfahren von Systemen sowie Änderungen, die sich auf das System oder Sicherheitsprotokolle auswirken.

Erweiterte Überwachungsrichtlinie

Mit den erweiterten Einstellungen der Überwachungsrichtlinie unter „Group Policy Computer Settings“ -> „Policies“ -> „Windows settings“ -> „Security settings“ -> „Advanced audit policy configuration“ -> „Audit policies“ können Administratoren bestimmte Ereignisse in folgenden Kategorien überwachen:

  • Account Logon: Diese Einstellungen regeln, wie die Validierung von Anmeldeinformationen und andere Kerberos-spezifische Ereignisse im Zusammenhang mit Authentifizierungs- und Ticket-Vorgängen überwacht werden.
  • Account Management: Diese Richtlinieneinstellungen beziehen sich auf die Änderung von Benutzerkonten und Computerkonten, Änderungen von Gruppenmitgliedschaften und die Protokollierung von Kennwortänderungen.
  • Detailed Tracking: Diese Einstellungen steuern die Überwachung von Verschlüsselungsereignissen, Ereignissen für die Erstellung und Beendigung von Windows-Prozessen und RPC-Ereignissen (Remoteprozeduraufrufen).
  • DS Access: Mit diesen Richtlinieneinstellungen legen Sie fest, ob der Zugriff auf AD, AD-Änderungen und Replikationen überwacht werden sollen.
  • Logon/Logoff: Diese Einstellungen steuern die Überwachung von Standardereignissen im Zusammenhang mit der An- und Abmeldung.
  • Object Access: Diese Einstellungen regeln den Zugriff auf AD, die Registrierung, Anwendungen und Dateispeicher.
  • Policy Change: Diese Einstellungen steuern die Überwachung von Änderungen an Richtlinieneinstellungen.
  • Privilege Use: Mit diesen Einstellungen legen Sie fest, ob Versuche zur Verwendung von Berechtigungen in der Windows-Umgebung überwacht werden sollen.
  • System:Mit diesen Einstellungen werden Änderungen am Zustand des Sicherheitssubsystems überwacht.
  • Global Object Access Auditing:Diese Einstellungen steuern die SACL-Einstellungen für alle Objekte auf einem oder mehreren Computern.

Informationen zur Konfiguration der Windows Server-Überwachung finden Sie in unserer Anleitung Best Practices für die Überwachungsrichtlinie.

Überwachungssammeldienste

Mit den Überwachungssammeldiensten (Audit Collection Services, ACS), einem speziellen Tool von Windows, können Sie Sicherheitsprotokolle von Servern mit Windows Server in einem zentralen Verzeichnis speichern und auf diese Weise die Sicherheitsüberwachung und Protokollanalyse vereinfachen. ACS ist ein agentenbasiertes Dienstprogramm, das Protokolle in einer Microsoft SQL Server-Datenbank zusammenführt.

Wenn eine Überwachungsrichtlinie auf einem Windows-Computer implementiert wird, speichert dieser Computer standardmäßig alle von der Überwachungsrichtlinie erzeugten Ereignisse im lokalen Sicherheitsprotokoll. Mithilfe von ACS können Unternehmen all diese Sicherheitsprotokolle in einer zentral verwalteten Datenbank speichern und anschließend die Ereignisse filtern und mit den Analyse- und Berichtstools von Microsoft SQL Server analysieren.

Protokollierung mit Windows PowerShell

Mit Windows PowerShell können Administratoren die Protokollierung auf Ebene des Windows PowerShell-Moduls aktivieren oder deaktivieren. Standardmäßig ist die Protokollierung in Windows PowerShell deaktiviert. Sie aktivieren die Protokollierung, indem Sie für die Eigenschaft „LogPipelineExecutionDetails“ die Einstellung „$true“ wählen. Um sie wieder zu deaktivieren, setzen Sie die Eigenschaft zurück auf „$false“.

Windows PowerShell beinhaltet auch eine Funktion zur Skriptüberwachung, mit der die Verwendung von Windows PowerShell-Skripts auf einem System nachverfolgt und analysiert werden kann. Wenn Sie die ausführliche Skriptüberwachung aktivieren, protokolliert Windows PowerShell alle Skriptblöcke im Ereignisprotokoll der Ereignisablaufverfolgung für Windows (ETW) unter dem Pfad „Microsoft-Windows-PowerShell/Operational“.

Zusammenfassung

Für die Untersuchung von Sicherheitsvorfällen, die Behebung von Problemen und die Optimierung der IT-Umgebung ist die Aktivierung der Windows-Überwachung eine wichtige Voraussetzung. Stellen Sie sicher, dass Sie die Überwachung nach Best Practices konfigurieren, um zu vermeiden, dass Sie große Mengen nicht wirklich nützlicher Protokolldaten sichten müssen.

Mit Drittanbieter-Tools können Sie die Qualität der Windows-Überwachung verbessern und viele Überwachungsaufgaben automatisieren. Mit Netwrix Auditor for Windows Server beispielsweise profitieren Sie von umfassendem Einblick in sämtliche Aktivitäten in Ihrer Windows-Umgebung.

Free tools
Mehr große lesefreude
Windows Registry Tutorial
Tags
Active Directory CISSP Cyber attack Data classification Data security GDPR IT compliance IT security Office 365 Risk assessment SharePoint Windows Server
...