Windows Server 2003 überwachen: Der Systemmonitor

Allgemeines zur Überwachung

Nachdem Sie die Grundlagen der Ereignisanzeige kennen gelernt haben, setzen Sie dieses Wissen nun in der Praxis ein. Ein Haupteinsatzzweck der Ereignisprotokolle (vor allem von Sicherheit) ist die Überwachung des Zugriffs von Benutzern und Prozessen auf Server-Ressourcen. Im aktuellen Klima von Sicherheitsproblemen und anscheinend wöchentlich neuen Sicherheitslücken ist es sehr wichtig zu wissen, wer Ihre Server wozu benutzt.

Das Aufzeichnen von Benutzer- und Systemaktivitäten im Netzwerk nennt man Überwachung oder Auditing. Bei Windows Server 2003 werden diese Ereignisse im Protokoll Sicherheit verzeichnet. Dies ist eines der Protokolle der Ereignisanzeige, die im letzten Kapitel besprochen wurden.

Praktisch jede Aktivität, die mit einem 2003-Objekt zu tun hat, kann im Protokoll Sicherheit verzeichnet werden. Wenn Sie die Überwachung konfigurieren, müssen Sie festlegen, welche Aktivitäten, das heißt Ereignisse, verfolgt werden sollen, und zwar bei welchen Objekten. Typische Aktivitäten, die verfolgt werden können, sind gültige und ungültige Anmeldeversuche, Erstellen und Öffnen von Dateien und Änderungen von Benutzerrechten. Nachdem die überwachten Ereignisse im Sicherheitsprotokoll verzeichnet wurden, können Sie sie in der Ereignisanzeige betrachten und analysieren.

Bei Windows Server 2003 wird die Sicherheitsbeschreibung zur Kontrolle des Zugriffs auf Objekte verwendet. Die Sicherheitsbeschreibung speichert nicht nur Informationen über die Berechtigungen, sondern auch über die Überwachung. Der Teil der Sicherheitsbeschreibung, der die Überwachungsinformationen speichert, heißt SACL (System Access Control List, Zugriffssteuerungsliste für das System). In der SACL wird angegeben, welche Attribute eines Objekts und welche mit diesen Attributen zusammenhängenden Ereignisse überwacht werden.

Es ist genauso wichtig, Benutzerkonto-Verwaltungsaufgaben wie Zugriffe auf wichtige Netzwerkressourcen zu überwachen. Die im Protokoll Sicherheit gespeicherten Einträge geben dem Netzwerkadministrator eine Zusammenfassung des Netzwerkbetriebs. Man kann sehen, welche Dinge von wem versucht wurden. Das erlaubt nicht nur, Hackangriffe zu entdecken, sondern hilft auch bei weniger spektakulären Aktionen (zum Beispiel gedankenlose Benutzer, die versehentlich wichtige Dateien löschen).

Die meisten Einträge für die Sicherheitsprotokolle zeigen:

  • Datum und Uhrzeit, zu denen das Ereignis stattfand

  • Typ des Ereignisses

  • Benutzerkonto, das das Ereignis auslöste

  • Erfolg oder Fehlversuch des Ereignisses