Intranet selbst gestrickt

Windows Web- und FTP-Server konfigurieren

1 2 3 4 5 6 7 8 9 10 11 12 13

Auditing
Wenn sich fremde Leute auf dem eigenen Rechner tummeln, kann einem mitunter unwohl werden. Was machen die da genau? Ist vielleicht etwas falsch konfiguriert? Klauen die meine Daten? Versucht jemand einzubrechen? Die Antwort auf all diese Fragen heisst: Überwachung ( Auditing). Auditing ist eine Eigenschaft des NTFS-Dateisystems. Viele wichtige Ereignisse wie Anmeldungen, Manipulationen an Dateien und Ordner oder an Berechtigungen lassen sich überwachen. Die Auswertung schreibt Windows in das Sicherheitsprotokoll der Ereignisüberwachung. Eine anonyme Anmeldung am Web-Server löst zum Beispiel das Ereignis Anmeldung mit der ID 538 und dem Anmeldetyp 3 aus. An diesem Protokoll kann man sehr schnell erkennen, was nicht stimmt.

Ereignisse wie Anmeldeversuche können im Sicherheitsprotokoll aufgezeichnet werden. Hier eine anonyme Anmeldung am Web-Server.

Das Auditing muss jedoch sorgfältig geplant und konsequent umgesetzt werden. Überwachung kostet Rechenleistung, und das Sicherheitsprotokoll kann überlaufen, so dass eine Strategie zur Sicherung der Sicherungsprotokolle benötigt wird. Ausserdem muss man erst einen Hinweis auf verdächtige Aktivitäten bekommen, denn das generelle Überwachen aller Vorgänge lohnt sich nie. Fehlgeschlagene Anmeldeversuche gehören zu den üblichen Verdächtigen. Grundsätzlich muss die Überwachung zuerst eingeschaltet werden. Starten Sie dazu das SnapIn Secpol.msc und markieren Sie in Lokale Richtlinien den Eintrag Überwachungsrichtlinien. Im Detailfenster doppelklicken Sie auf Anmeldeereignisse überwachen und markieren die Kontrollkästchen Erfolgreich und Fehlgeschlagen. Damit schreibt Windows bei jedem Anmeldeversuch am Web-Server einen Eintrag in das Sicherheitsprotokoll.

Überwachung von Objekten: Erfolgreiche wie fehlgeschlagene Zugriffe auf Dateien lassen sich detailliert überwachen.

Um zum Beispiel Verzeichnisse auf Manipulationen zu überwachen, öffnen Sie die erweiterten Sicherheitsstellen eines Ordners. Im Register Überwachung lassen Sie über Anzeigen/Bearbeiten die möglichen Überwachungseinträge anzeigen. Natürlich macht das nur Sinn, wenn man die Sicherheitsprotokolle auch überprüft.