Sicherer Computer: Mit Forensik PC-Einbrecher erkennen und aussperren

Mit den richtigen Tools und Bordmittelwerkzeugen können Sie feststellen, ob Nutzer unberechtigt auf Ihren PC zugreifen. Zudem können Angriffsversuche vom Computer automatisch erkannt und verhindert werden.
Bildergalerie
Vorkenntnisse:
Foto: Maksim Kabakou - shutterstock

01PC-Startzeitpunkt und Windows-Anmeldungen feststellen

Mit dem Tool TurnedOnTimesView können Sie über einen Doppelklick ohne Installation überprüfen, wann und warum Windows gestartet wurde. Das Tool steht kostenlos zur Verfügung und muss nicht installiert werden. Sobald Sie es gestartet haben, sehen Sie in der Spalte "Startup Time" wann Windows gestartet wurde und bei "Shutdown Time", wann der PC wieder heruntergefahren wurde.

TurnedOnTimesView zeigt an, wann Ihr PC gestartet und heruntergefahren wurde.
TurnedOnTimesView zeigt an, wann Ihr PC gestartet und heruntergefahren wurde.

Über Options\Advanced Options können Sie die gleichen Informationen von PCs im Netzwerk abrufen lassen.

Zusätzlich können Sie sich das Tool WinLogonView ansehen. Dieses zeigt genau an, wann sich Anwender an Windows angemeldet haben. Sie sehen den Anmeldenamen, die Anmeldedomäne, die Anmeldezeit und auch, von welchem Rechner die Anmeldung erfolgt ist. Denn es besteht auch die Möglichkeit, eine Anmeldung über das Netzwerk/Internet an Windows durchzuführen, zum Beispiel um sich mit Freigaben auf dem Rechner, mit der Verwaltungsoberfläche oder der Konfiguration der Systemdienste zu verbinden.

02Benutzer in Arbeitsgruppen überwachen

Sie haben in Windows die Möglichkeit, Benutzer zu überwachen, ohne dass die Arbeitsstationen an eine Domäne angebunden sind. Sobald Sie die Überwachung aktivieren, sehen Sie, wann sich Benutzer anmelden und auf Objekte zugreifen. Das funktioniert auch auf lokalen Rechnern. Die Daten werden in die Ereignisanzeige geschrieben und lassen sich an dieser Stelle auch auslesen. Dazu gehen Sie folgendermaßen vor:

1. Öffnen Sie über die Startseite das Fenster Lokale Sicherheitsrichtlinie (secpol.msc).

2. Navigieren Sie zu Lokale Richtlinien/Überwachungsrichtlinie. An dieser Stelle können Sie Einstellungen vornehmen.

3. Für jeden Punkt können Sie erfolgreich durchgeführte Aktionen überwachen lassen, ebenso Aktionen, die der Anwender versucht, das System aber verweigert hat.

In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.
In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.

Wichtig bei der Überwachung sind die Anmeldungen. Dazu aktivieren Sie die Richtlinie Anmeldeereignisse überwachen. Nach Aktivierung der Überwachung finden Sie die entsprechenden Informationen in der Ereignisanzeige über Windows-Protokolle/Sicherheit.

Lassen Sie Objektzugriffsversuche überwachen, besteht auch die Möglichkeit, den Zugriff auf Dateien inklusive der Änderungen nachzuverfolgen. Nachdem Sie die Überwachung aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Ordner aktivieren. Dazu sind die Eigenschaften des Ordners und die Registerkarte Sicherheit wichtig.

Über die Schaltfläche Erweitert erscheint die Registerkarte Überwachung. Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung. An dieser Stelle müssen die zu überwachenden Benutzer oder Gruppe ausgewählt werden. Nach der Aktivierung der Überwachung sind die entsprechenden Ereignisse in der Ereignisanzeige zu sehen. Die Meldung enthält Informationen, über welches Recht der Benutzer verfügt, auf welchen Ordner er zugegriffen hat und welche Aktion durchgeführt wurde.

Sie können Objektzugriffe von Anwendern überwachen.
Sie können Objektzugriffe von Anwendern überwachen.

Öffnen Sie dazu die Eigenschaften des Objekts, und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen Windows protokolliert. Über Bearbeiten legen Sie fest, welche Gruppen/Benutzer das System überwachen soll. Nachdem Sie Hinzufügen gewählt haben, können Sie über den Link Prinzipal auswählen den zu überwachenden Benutzer auswählen. Bestimmen Sie anschließend im Feld Anwenden auf aus, welche Zugriffe Windows protokollieren soll.

Die Anzeige der Protokollierung erfolgt in der Ereignisanzeige. Diese starten Sie am schnellsten durch Aufruf von eventvwr auf der Startseite. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Protokoll Sicherheit unterhalb des Knotens Windows-Protokolle. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, ein Schloss steht für fehlgeschlagene Zugriffe. Genauere Informationen zu einem Eintrag erhalten Sie angezeigt, indem Sie diesen öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.

Mit der erweiterten Funktion in Windows 8.1 können Sie Rechner umfassend überwachen.
Mit der erweiterten Funktion in Windows 8.1 können Sie Rechner umfassend überwachen.

Neben den herkömmlichen Überwachungseinstellungen lassen sich mit Windows 8.1 noch weitere Maßnahmen treffen, um das eigene Netzwerk effizient zu schützen und zu überwachen. Generell ist es empfehlenswert, die klassische Überwachung und die neue Überwachung nicht parallel zu verwenden, sondern sich entweder für die Basisüberwachung oder für die erweiterte Überwachung zu entscheiden. Die erweiterte Überwachung bietet eine Untergliederung in neun Unterbereiche an. Die erweiterten Einstellungen sind über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration zu finden.

Der Vorteil der neuen Überwachungsfunktionen besteht in der spezifischeren Aufgliederung der überwachten Ereignisse.