Sicherheitsüberwachung

Wichtiger Teil bei einem Netzwerk-Betriebssystem ist die Überwachung der Zugriffe auf die Server und die Kontrolle der Serverzustände.

• Überwachung der Benutzeraktionen
• Überwachung der Systemfehlerzustände
• Überwachung der Systemauslastung

Die Überwachung des Systems ist als Funktion der lokalen Gruppe der Administratoren zugeordnet. Jedoch wird immer die letzte Aktion eines Administrators aus Sicherheitsgründen in geeigneter Form protokolliert und zur Kontrolle aufbewahrt. Das heißt, auch wenn ein Administrator alle protokollierten Kontrollinformationen löschen würde, wäre der Löschvorgang selbst wieder der erste Eintrag der neuerlichen Protokollinformation!

Überwachbare Systemfunktionen sind im einzelnen:

• An- und Abmelden
• Datei- und Objektzugriffe
• Verwendung von Benutzerrechten
• Benutzer- und Gruppenverwaltung
• Sicherheitsrichtlinienänderung
• Neustart, Herunterfahren des Systems
• Prozeßverfolgung (Start, Ende)

Die Überwachung der Datei- und Verzeichniszugriffe wird über den Datei-Manager und den dortigen Menüpunkten: Sicherheit Überwachen; durch einen Administrator gestartet (Auditing).

Alle anderen Überwachungsfunktionen werden mit dem Menüpunkt Überwachung im Benutzer-Manager festgelegt.

Die Ereignisanzeige

Das Werkzeug für die Einsicht der Überwachungsinformationen ist die Ereignisanzeige. Die Nachrichten über Systemereignisse sind für Administratoren gedacht und werden daher als Protokolle von einem speziellen Systemdienst (Ereignisprotokolldienst) gesichert. Die Ereignisanzeige kann hierbei Protokolle für System-, Sicherheits- und Anwendungs-Ereignisse anzeigen und verwalten, sowie diese Ereignisprotokolle archivieren. Der dafür benötigte Ereignisprotokollierdienst wird automatisch beim Start von Windows NT initialisiert.

Das Hauptfenster der Ereignisanzeige zeigt die im folgenden aufgeführten Informationen für die ausgewählte Protokollkategorie an. Hierbei gilt es zu beachten, daß das Sicherheitsprotokoll nur von Administratoren betrachtet werden kann.

• Arten: Klassifizierung des Ereignisses durch Windows NT, z.B. Fehler, Warnung, Information, Überwachungserfolg, Überwachungsfehlschlag.
• Datum: Systemdatum, an dem das Ereignis erzeugt wurde.
• Zeit: Systemzeit, an dem das Ereignis erzeugt wurde.
• Quelle: Die Software, die das Ereignis produziert hat.
• Kategorie: Klassifizierung des Ereignisses durch die Quelle.
• Ereignis: Nummer zur Identifizierung des Ereignisses.
• Computer: Name des Computers, auf dem das protokollierte Ereignis auftrat.

Der Menüpunkt: Protokoll Computer auswählen erlaubt es Domäne-Administratoren auch die Protokollinformationen anderer Computer unter Windows NT im Netzwerk abzurufen. Dies ist insbesondere nützlich, wenn ein Benutzer ein instabiles System meldet und der Administrator durch einen Fernzugriff eine erste Diagnose stellen möchte.

Wird der Umfang der Protokolleinträge zu groß für die gezielte Analyse bestimmter Ereignisse, so lassen sich Filterfunktionen einsetzen. Das zugehörige Dialogfenster wird über den Menüpunkt: Ansicht Ereignisse filtern aktiviert.

Zu Archivierungszwecken können die Protokolle in Dateien gesichert werden. Diese lassen sich mit verschiedensten Werkzeugen (z.B. MS-Excel) auswerten und aufbereiten. In vielen Unternehmen gehört das Aufbewahren der Protokollinformationen zur Firmenpolitik. Hierdurch können insbesondere Sicherheitsverstöße von Mitarbeitern auch im Nachhinein rekonstruiert werden.

Sollen die Protokolle regelmäßig gesichert werden, dürfen keine Informationen verloren gehen. Dies erreicht man durch entsprechende Einstellungen der Protokollgrößen und der Definition, wie ältere Protokolleinträge behandelt werden.