Globale Überwachung für den Zugriff auf Dateisystem und Registry konfigurieren

    Dateisystem überwachen (Auditing)Ein Auditing von kritischen Ressourcen hilft dabei, uner­wünschte und ver­dächtige Aktivi­täten aufzu­decken. Eine solche Über­wachung bietet sich etwa für Dateien mit sen­siblen Infor­mationen oder die Regi­strierung an. Die globale Über­wachung verein­facht die Konfi­guration, produziert aber mehr Daten in der Log-Datei.

    Seit Windows 7 und Server 2008 unterstützt Microsoft ein erweitertes Auditing-Modell, das sich nicht wie früher auf 9 Aktivitäten beschränkt, sondern eine fein abgestufte Überwachung von Zugriffen auf System­komponenten erlaubt. Unter der erweiterten Überwachungs­richtlinie finden sich im GPO-Editor aktuell 53 Einstellungen, die unterschiedliche Ereignisse betreffen.

    SACL-Konfiguration erforderlich

    Gemeinsam ist ihnen aber, dass man nach Aktivierung der Auditierungs­richtlinie erst die System Access Control List (SACL) auf Seite der Ressource konfigurieren muss, bevor Ereignisse aufgezeichnet werden. Dies kann etwa ein Verzeichnis im Dateisystem, ein Schlüssel in der Registry oder ein Container im Active Directory sein.

    Das Auditing findet sich in den Sicherheitseinstellungen von Dateien und Verzeichnissen unter dem Reiter Überwachung.

    Betrifft das Auditing nur wenige Objekte, dann kann man deren SACL einzeln über GUI-Tools wie AD-Benutzer und -Computer oder den Registriereditor bearbeiten. Aber sobald eine größere Zahl an Objekten oder Rechnern betroffen ist, stößt dieses Vorgehen schnell an seine Grenzen.

    SACL zentral über Gruppenrichtlinien anpassen

    In diesem Fall bietet es sich in verwalteten Umgebungen an, die SACLs über Gruppen­richtlinien zu konfigurieren. Für diesen Zweck findet sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen ein Container für Dateisystem und die Registrierung, so dass man SACL-Einträge auf diese Weise zentral verteilen kann.

    Die SACL eines Registry-Schlüssels lässt sich auch zentral über ein GPO ändern.

    Ein Problem bei der expliziten SACL-Konfiguration besteht darin, dass man relativ leicht den Überblick verlieren kann, wenn man sie an vielen Objekten vornimmt. Nachträglich lässt sich dann zumindest mit den GUI-Tools nicht so ohne weiteres feststellen, welche Ressource bei welchen Ereignissen einen Audit-Trail erzeugt.

    SACL ausgeben mit PowerShell

    Behelfen könnte man sich hier mit PowerShell, wo das folgende Kommando am Beispiel der Registry zeigt, wie man alle Schlüssel auflistet, für die das Auditing konfiguriert wurde:

    Registry-Objekte mit konfigurierter Audit-Einstellung in PowerShell ausgeben.

    Beim Aufruf ist einer kleiner Kunstgriff notwendig, weil Get-ChildItem die Pfadangaben in einem falschen Format liefert und daher HKEY_LOCAL_MACHINE durch HKLM: ersetzt werden muss.

    Globale Objektzugriffsüberwachung

    Den Aufwand für die explizite Konfiguration der SACL an Dateisystem- und Registry-Objekten kann man sich sparen, wenn man stattdessen die globale Überwachung von Objektzugriffen konfiguriert. Für sie finden sich unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Erweiterte Überwachungs­richt­linien­konfiguration => Globale Objekt­zugriffs­überwachung die Einträge für Dateisystem und Registrierung.

    Die Einstellung für globale Objekt­zugriffs­überwachung im GPO-Editor

    Öffnet man diese, dann muss man erst die Checkbox Richtlinieneinstellung definieren anhaken, bevor man die Policy konfigurieren kann. Im folgenden Dialog klickt man auf Hinzufügen und öffnet damit einen weiteren Dialog, der identisch ist mit jenem, den man verwendet, um die Überwachung direkt in der Registrierung oder dem Dateisystem zu steuern.

    Globale System ACL in den Gruppenrichtlinien definieren

    Hier wählt man den Prinzipal aus (beispielsweise Jeder) und legt anschließend fest, welche Art von Zugriff aufgezeichnet werden soll.

    Unter Berechtigungen wählt man die Art der Zugriffe aus, die aufgezeichnet werden sollen.

    Nachdem die Richtlinie die Aktivitäten auf allen Laufwerken und in der gesamten Registrierung überwacht, sollte man bedenken, dass eine großzügige Auswahl an dieser Stelle das ohnehin beträchtliche Daten­aufkommen noch weiter erhöht.

    Keine Veränderung an den Ressourcen

    Die hier konfigurierte SACL schreibt das GPO anschließend nicht in alle Objekte der Zielrechner. Vielmehr verbleibt diese im RAM und wird erst bei einem Zugriff auf die Registry oder das Dateisystem ausgewertet und angewandt. Die überwachte Ressource bleibt damit unverändert.

    Diese Einstellung gibt somit für das Dateisystem und die Registry jeweils eine einzige Audit-Konfiguration vor. Aber die Überwachung selbst aktiviert sie nicht, das muss man wie bei der expliziten SACL-Zuweisung separat für die jeweilige Ressource tun.

    Die globale Objektzugriffsüberwachung erfordert, dass man erst das Auditing für das Filesystem bzw. die Registrierung aktiviert.

    Dies erfolgt unter Erweiterte Überwachungs­richt­linien­konfiguration => Überwachungs­richtlinien => Objektzugriff.

    Fazit

    Neben einer einfacheren Konfiguration hat die globale Überwachung den Vorteil, dass man mit ihr strengeren Compliance-Anforderungen leichter genügen kann. Es lässt sich damit recht leicht nachweisen, dass man etwa ein Auditing für alle Dateien betreibt.

    Der offen­sichtliche Nachteil dieses Verfahrens besteht in der erheblichen Datenmenge, die ein solcher Audit Trail im Eventlog produziert. Eine Auswertung auf jedem einzelnen Host ist in der Regel unrealistisch, so dass man zumindest die Logfiles auf einem Rechner zusammenführen wird.

    In der Praxis dürfte man aber eine Software für die Log-Analyse benötigen, welche die Einträge konsolidiert und selbständig auf verdächtige bzw. unerwünschte Aktivitäten hin untersucht.

    Keine Kommentare