AD-Auditing-Tipp: 5 bewährte Praktiken rund um die Aufbewahrung der Security Logs
Das Sicherheitsprotokoll bzw. Security Log in Windows ist für Administratoren die zentrale Anlaufstelle für Informationen über alle sicherheitsrelevanten Aktivitäten. Dazu zählen beispielsweise Benutzeranmeldungen, Dateizugriffe, die Erstellung oder Beendigung von Prozessen, das Hoch- bzw. Herunterfahren von Systemen oder Richtlinienänderungen.
Mithilfe dieser Protokolldateien können IT-Administratoren sowohl versuchte als auch erfolgreiche unbefugte Aktivitäten in ihrem Netzwerk erkennen, untersuchen und eventuelle Probleme beheben. Darüber hinaus dient das Security Log auch als Beweismittel bei Sicherheitsverletzungen.
In einigen Branchen und Bereichen sind Unternehmen durch bestimmte gesetzliche Vorschriften dazu verpflichtet, ihre Sicherheitsprotokolldaten mehrere Jahre lang aufzubewahren. Der Speicherplatzbedarf für das Log-Management ist allerdings gerade in großen IT-Umgebungen nicht zu unterschätzen, da jede Workstation tausende von Ereignissen (Events) protokolliert und so schnell Terabytes an Daten anhäuft.
Damit diese unübersichtlichen Datenmengen gar nicht erst entstehen, empfiehlt es sich, professionelle AD-Auditing-Lösungen wie ADAudit Plus zu nutzen, die nur die für das jeweilige Unternehmen wirklich relevanten Änderungen am Active Directory, den Windows-Servern und -Dateiservern archivieren.
Wir haben fünf Best Practices rund um die Aufbewahrung der Security Logs für Sie zusammengestellt. Diese unterstützen Sie dabei, die relevanten Ereignisse für spätere Analysen aufzubewahren und die Datenmengen gleichzeitig im Griff zu behalten:
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Was ist das Windows Security Log und welche Ereignisse werden darin aufgezeichnet?
Das Security Log oder Sicherheitsprotokoll in Windows ist eines von drei Protokollen, die standardmäßig in der Ereignisanzeige (Event Viewer) von Windows enthalten sind. Darin werden alle sicherheitsrelevanten Ereignisse (Events) wie beispielsweise Logon-/Logout-Aktivitäten aufgezeichnet. Welche Ereignisse dabei genau protokolliert werden sollen, lässt sich in den Überwachungsrichtlinien der jeweiligen Domäne festlegen.
Folgende Aktivitäten können im Security Log aufgezeichnet werden:
- Anmeldeversuche und Anmeldeereignisse
- Aktivitäten rund um die Kontoverwaltung
- Verzeichnisdienstzugriffe
- Objektzugriffsversuche
- Richtlinienänderungen
- Rechteverwendung
- Berechtigungsänderungen
- Prozesserstellung und -beendigung
- Systemereignisse
Zusatztipp:
Ereignisprotokolle anzeigen
Lesen Sie in unserem Tipp „So lassen Sie sich die Ereignisprotokolle (Event Logs) Ihres Active Directory anzeigen“, wie Sie zunächst die Überwachungsrichtlinien für Ihre Domäne aktivieren und konfigurieren, damit Sie sich anschließend die für Sie relevanten Ereignisse in der Ereignisanzeige (Event Viewer) anzeigen lassen können.
1. Archivieren Sie Protokolldaten zentral
Sicherheitsprotokolle können auch als Beweismittel für forensische Analysen dienen. Allerdings sind die dazu benötigten Log-Dateien in der Regel über Server, Domänen-Controller und lokale Rechner verteilt. Das erschwert die Konsolidierung der verstreuten Daten für Abfragen und Analysen. Aus diesem Grund sollten Sie alle Protokolle – egal aus welcher Quelle – zentral archivieren. Dabei ist es wichtig, dass Sie deren Integrität gewährleisten können, um die gesetzlichen Vorgaben zu erfüllen. Während der Archivierung sollten Sie zudem darauf achten, dass die Protokolle verschlüsselt abgelegt sind. Zudem sollten Sie Zeitstempel, Hashing und andere Techniken zur Sicherung der Daten einsetzen.
Tipp:
Mit der IT-Security- und Compliance-Lösung ADAudit Plus werden die Protokolle aus verschiedenen Systemen standardmäßig in einer einzigen, integrierten Datenbank gespeichert. ADAudit Plus archiviert dabei nur die Active-Directory-Änderungsdaten, die für Sie relevant sind. Den Speicherort für die archivierten Daten können Sie selbst festlegen, z. B. auf einem Speicherserver im Netzwerk. Bei Bedarf können die archivierten Daten jederzeit ganz einfach wiederhergestellt und als Grundlage für benutzerdefinierte Berichte genutzt werden – beispielsweise für die Datenforensik sowie für Sicherheits- oder Compliance-Audits.
2. Legen Sie die maximale Größe des Sicherheitsprotokolls fest
Legen Sie die maximale Größe des Sicherheitsprotokolls so fest, dass sie mit der Zunahme der Daten im Netzwerk wächst. Dies verhindert den Verlust von Informationen aufgrund unzureichender Speicherkapazität und stellt sicher, dass Sie für die Compliance mit den für Ihr Unternehmen relevanten Vorschriften gerüstet sind.
So legen Sie die maximale Größe für Sicherheitsprotokolle fest:
Möglichkeit 1: Lokale Konfiguration
- Öffnen Sie Start > Ausführen und geben Sie eventvwr.msc ein.
- Gehen Sie zu Ereignisanzeige > Windows-Protokolle > Sicherheitsprotokoll, klicken Sie mit der rechten Maustaste auf „Sicherheit“ und wählen Sie „Eigenschaften“.
- Konfigurieren Sie die „Maximale Protokollgröße“ und die „Aufbewahrungsmethode für das Sicherheitsprotokoll“.
Möglichkeit 2: Gruppenrichtlinienobjekt-Editor
- Gehen Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Ereignisprotokoll.
- Öffnen Sie per Doppelklick die Richtlinie „Maximale Größe des Sicherheitsprotokolls“. Jetzt können Sie die Größe und ggf. die Aufbewahrungsmethode des Sicherheitsprotokolls anpassen.
Übrigens:
Die maximale Speicherkapazität für das Sicherheitsprotokoll der Domänen-Controller ist in Windows auf 4 GB begrenzt. Auch für Server empfiehlt Microsoft, nicht mehr als 4 GB anzusetzen. Ist der zur Verfügung stehende Platz erschöpft, werden die Ereignisse entweder überschrieben oder es werden keine neuen Einträge vorgenommen. Da bei beiden Optionen Hinweise auf Angriffe verloren gehen können, bietet Microsoft zusätzlich die Funktion „Auto-Archivierung“ an, mit der alte Ereignisdaten archiviert werden können.
Deutlich komfortabler können Sie die Event-Logs allerdings mit einer professionellen Log-Management-Lösung wie EventLog Analyzer zentral sammeln, archivieren und auswerten. Auch ADAudit Plus bietet die Möglichkeit, alte Daten zu AD- oder Windows-Server-Änderungen zu archivieren und bei Bedarf für benutzerdefinierte Berichte wiederherzustellen.
3. Implementieren Sie eine Richtlinie zur Aufbewahrung von Protokollen
Sicherheitsprotokolle sollten länger als andere Protokolltypen (z. B. Anwendungsprotokolldaten) aufbewahrt werden, da sie als Beweismittel für Datenschutzverletzungen und Angriffe dienen. Allerdings sollten Sie auch diese nicht für immer aufbewahren.
Vor diesem Hintergrund empfehlen wir Ihnen, Aufbewahrungsrichtlinien für Protokolle einzurichten, damit die erforderlichen Protokolldaten aufbewahrt und ältere Daten gelöscht werden. Die Konfiguration der maximalen Größe des Sicherheitsprotokolls und der Aufbewahrungsrichtlinien kann auf einem lokalen Computer über den Microsoft Event Viewer oder auf allen Zielcomputern über die Gruppenrichtlinie vorgenommen werden (siehe Tipp bei 2.).
Übrigens:
Mit ADAudit Plus können Sie die Ereignisse im Sicherheitsprotokoll nicht nur aufbewahren, sondern auch in Echtzeit überwachen und analysieren – eine Aufgabe, die manuell kaum zu bewältigen wäre. Zudem können Sie sich bei kritischen Ereignissen mit den benutzerdefinierten Alarmen sofort warnen lassen. So behalten Sie verdächtige Benutzeraktionen einfach im Blick.
4. Verringern Sie das Grundrauschen unwichtiger Ereignisse
Wenn zu viele Ereignisse protokolliert werden, ist es schwierig, die wirklich wichtigen Ereignisse unter all den archivierten Log-Dateien zu finden. Das erhöht die Wahrscheinlichkeit, dass Informationen übersehen werden. Daher sollten Sie Ihre Audit-Richtlinie sorgfältig aufsetzen, um die kritischen Ereignisse wie Anmeldefehler, Kontosperrungen und Dateizugriffe zu protokollieren und so die Einhaltung von Vorschriften und die Netzwerksicherheit zu gewährleisten.
Idealerweise legen Sie sich zunächst eine Liste mit allen Events an, die Sie überwachen möchten. Diese erleichtert es Ihnen, anschließend die Einstellungen für die Log-Erstellung zu überprüfen und entsprechend anzupassen.
Zusatztipp:
Idealerweise legen Sie sich zunächst eine Liste mit allen Events an, die Sie überwachen möchten. Diese erleichtert es Ihnen, anschließend die Einstellungen für die Log-Erstellung zu überprüfen und entsprechend anzupassen.
Wir empfehlen Ihnen, mindestens folgende Sicherheitsereignisse zu überwachen:
- Login / Logoff von Anwendern (Lesen Sie hier, wie Sie sich die Anmeldeaktivitäten Ihrer User im AD anzeigen lassen können)
- Änderungen an Gruppen (Wie Sie sich mit ADAudit Plus einen Alarm für Änderungen an Gruppenmitgliedschaften einrichten, lesen Sie hier)
- Löschung von Event Logs (Event ID 1102)
- Useraccount gesperrt (Lesen Sie hier, wie Sie gesperrte Accounts im AD aufspüren und die Ursachen untersuchen)
- Versuche, auf ein Objekt zuzugreifen (Lesen Sie hier, wie Sie den Datei- und Ordnerzugriff auf Windows-Dateiservern überwachen)
5. Synchronisieren Sie die Systemuhren
Damit die Sicherheitsprotokolleinträge alle genaue Zeitstempel aufweisen, sollten die Uhren aller Systeme synchronisiert werden. Schon eine kleine Zeitabweichung kann die Rekonstruktion einer Ereigniskette erheblich erschweren, die zu einem Sicherheitsverstoß geführt hat. Eine wöchentliche Überwachung der Systemuhren zur Überprüfung und Korrektur erheblicher Abweichungen kann die Wahrscheinlichkeit verringern, dass Sicherheitsvorfälle unentdeckt bleiben.
Compliance-Anforderungen einfach erfüllen - mit ADAudit Plus
Die Aufbewahrung und Analyse von Sicherheitsprotokollen für Compliance-Anforderungen kann für Unternehmen eine mühsame Aufgabe sein. Die AD-Auditing-Lösung ADAudit Plus hilft Ihnen dabei, Sicherheitsprotokolle so lange zu archivieren, wie erforderlich, und bietet zudem zahlreiche vorgefertigte Berichte, die Sie bei der Compliance mit SOX, HIPAA, PCI, FISMA, GLBA, GDPR und ISO unterstützen.
Weitere Active-Directory-Tipps: