Tags: Sicherheit, Datei-Management, Monitoring, NTFS
Windows bietet auf NTFS-Laufwerken die Möglichkeit, Zugriffe auf sensible Daten durch bestimmte Benutzer zu protokollieren. Dieses Features erfordert drei Aktivitäten: Das Aktivieren durch Gruppenrichtlinien, das Definieren von SACL für die gewünschten Objekte und das Auswerten des Security-Eventlogs.
Grundsätzlich sollten Administratoren durch Vergabe der passenden Berechtigungen dafür sorgen, dass nur befugte Benutzer auf Verzeichnisse und Dateien zugreifen können. Die Kombination aus NTFS- und Freigaberechten macht diese Aufgabe nicht ganz einfach, aber eine Reihe von Tools wie etwa der NTFS Permissions Reporter helfen dabei, die Übersicht zu behalten.
Kontrolle über sensible Informationen
Dennoch können bestimmte Arbeitsabläufe oder die Kooperation in Projekten erfordern, dass ein größerer Personenkreis Zugriff auf vertrauliche Dokumente erhalten muss. Zudem haben privilegierte Benutzer die Möglichkeit, sich selbst weitgehende Rechte einzuräumen und so Einblick in Daten zu erlangen, die nicht für sie bestimmt sind.
In diesen Fällen kann es wichtig sein, dass Unternehmen die Zugriffe auf sensible Dateien protokollieren, um festzustellen, wer wann ein bestimmtes Dokument gelesen oder gelöscht hat. Windows bietet mit dem Auditing von NTFS-Objekten genau diese Möglichkeit, und zwar sowohl auf dem Server als auch der Workstation.
Auditing über GPO aktivieren
Der erste Schritt besteht darin, dass man dieses Feature auf den betreffenden Rechnern erst freischaltet. Dies erfolgt über Gruppenrichtlinien, wobei man das entsprechende GPO den OUs zuordnet, in denen sich die zu überwachenden Server befinden.
Zuständig ist dafür die Einstellung Dateisystem überwachen unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Erweiterte Überwachungsrichtlinienkonfiguration => Überwachungsrichtlinien => Objektzugriff.
Ihre Konfiguration erfordert die Auswahl zwischen Erfolg und Fehler. Im ersten Fall werden nur Ereignisse aufgezeichnet, die der Benutzer aufgrund ausreichender Berechtigungen durchführen konnte, während die zweite Option nur dann greift, wenn die Aktion gescheitert ist.
Protokollierung für Verzeichnisse und Dateien einrichten
Nachdem das GPO auf den Zielrechnern wirksam ist (etwa durch Ausführung von gpupdate), kann man dort die System Access Control List (SACL) für NTFS-Objekte einrichten.
Zu diesem Zweck öffnet man im Windows Explorer die Eigenschaften eines Verzeichnisses oder einer Datei, wechselt im folgenden Dialog zur Registerkarte Sicherheit und klickt dort auf Erweitert. Im nächsten Dialog schließlich navigiert man zum Reiter Überwachung.
Dort informiert eine Meldung darüber, dass man für die folgende Aktion entweder Administrator sein muss oder über das Recht verfügen muss, SACLs für Objekte zu definieren. Diese Berechtigung kann man normalen Benutzern bei Bedarf über Gruppenrichtlinien erteilen.
Die Einstellung heißt Verwalten von Überwachungs- und Sicherheitsprotokollen. Sie findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten.
Nach Bestätigung des Weiter-Buttons kann man nun die Bedingungen für die Überwachung festlegen, indem man über die Schaltfläche Hinzufügen neue Einträge erstellt. Im ersten Schritt folgt man dem Link Prinzipale auswählen und legt dort fest, wessen Aktivitäten (User oder Gruppen) aufgezeichnet werden sollen.
Benutzer und Gültigkeitsbereich festlegen
Danach entscheidet man, ob nur erfolgreiche, fehlgeschlagene oder alle Aktivitäten mitschneiden will, wobei diese Auswahl sinnvollerweise mit der Konfiguration im ersten GPO übereinstimmen soll.
Bei Verzeichnissen hat man in diesem Abschnitt schließlich noch die Möglichkeit, den Gültigkeitsbereich des SACL anzugeben. Zur Auswahl stehen 7 Varianten, die von Nur diesen Ordner bis Diesen Ordner, Unterordner und Dateien reichen.
Mit diesen Optionen aus dem Dropdown-Menü Anwenden auf steuert man nicht die Vererbung des SACL, auch wenn es auf den ersten Blick so aussehen mag. Vielmehr wird der gewählte Gültigkeitsbereich an die Verzeichnisse unterhalb weitergegeben.
Entscheidet man sich beispielsweise für Diesen Ordner, Dateien, dann wirkt sich dieser Überwachungseintrag in den Unterverzeichnissen nur mehr auf Dateien aus.
Protokollierung auf bestimmte Aktionen einschränken
Etwas verwirrend ist der mittlere Abschnitt dieses Dialogs, der mit Grundlegende Berechtigungen überschrieben ist. Hier geht es nicht darum, irgendwelche Rechte zu verwalten, vielmehr bestimmt man an dieser Stelle, welche Art von Zugriffen aufgezeichnet wird.
So würde etwa die Auswahl von Lesen, Ausführen und Ordnerinhalt anzeigen ebendiese Aktionen protokollieren, aber nicht, wenn ein Benutzer eine Datei im überwachten Verzeichnis editiert. Vollzugriff würde indes dafür sorgen, dass Windows sämtliche Aktivitäten in Bezug auf diese NTFS-Objekte mitschreibt.
Vererbung von Überwachungseinträgen
Aktiviert man das Auditing für ein Verzeichnis, dann werden sämtliche dort hinzugefügten Überwachungseinträge automatisch an alle Unterverzeichnisse vererbt.
Öffnet man die Sicherheitseinstellungen in einem dieser ungeordneten Objekte, dann sieht man in der Spalte Geerbt von, wo im übergeordneten Verzeichnisbaum der betreffende Eintrag definiert wurde.
Möchte man vermeiden, dass die Überwachung auf alle Unterverzeichnisse ausgeweitet wird, dann kann man für jeden Eintrag separat festlegen, dass er nur für den Ordner selbst und die darin enthaltenen Objekte gilt. Unterverzeichnisse der ersten Ebene sind davon ebenfalls noch betroffen, aber nicht mehr ihre Inhalte.
In Verzeichnissen, die Überwachungseinstellungen von oberhalb vererbt bekommen, kann man über einen den Button Vererbung deaktivieren dafür sorgen, dass keiner der Einträge nach unten durchgereicht wird.
Protokollierte Zugriffe auswerten
Sobald das Auditing für bestimmte NTFS-Objekte aktiv ist, beginnt Windows damit, alle ausgewählten Aktivitäten im Eventlog Sicherheit mitzuschreiben. Abhängig davon, wie viele Verzeichnisse und Dateien von der Überwachung betroffen sind und welche Art von Zugriffen mitgeschnitten wird, können dabei erhebliche Datenmengen entstehen.
Aus diesem Grund ist es ratsam, das erwartete Volumen abzuschätzen und das Fassungsvermögen der Protokolldatei zu vergrößern, weil der niedrig angesetzte Vorgabewert von 20MB dann wahrscheinlich nicht reichen wird.
Überwacht man NTFS-Objekte auf mehreren Rechnern, dann wird es sich als vorteilhaft erweisen, wenn man ihre Log-Einträge an eine Maschine weiterleitet und dort analysiert.
Greift man für die Auswertung auf die Ereignisanzeige zurück und möchte die Einträge für das NTFS-Auditing ausfiltern, dann wählt man als Quelle Microsoft Windows security auditing und als Aufgabenkategorie Dateisystem aus.
Je nachdem, ob man erfolgreiche oder fehlgeschlagene Zugriffe protokolliert, kann man zusätzlich als Schlüsselwort Überwachung erfolgreich oder Überwachung gescheitert hinzunehmen.
Eine äquivalente Abfrage in PowerShell könnte mit Get-Eventlog so aussehen:
Get-EventLog -LogName Security -Source "*auditing*" -EntryType FailureAudit -Newest 50
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Fortgeschrittene Techniken mit Nmap: TCP-Window-, FIN-, NULL- und XMAS-Scans
- Gartner-Quadrant zu SIEM: 5 Hersteller führend (u.a. Microsoft, Splunk, IBM)
- Nmap: Firewalls umgehen mit Ping- und TCP-ACK-Scans
- Portscanner Nmap: die wichtigsten Funktionen im Überblick
- Datendiebstahl verhindern: Risikoanalyse und Data Loss Prevention mit Safetica NXT
Weitere Links
2 Kommentare
Gibt es Empfehlungen für ein Tool, das die Logs angemessen aufbereiten und auswerten kann?
Hallo PB,
versuch es mal mit http://www.eventsentry.com/. Da gibt es auch eine kostenlose "Light" Version. Ich könnte mir das als optimale Ergänzung zu diesem HowTo vorstellen.