Windows Server 2003 überwachen: Der Systemmonitor
Sicherheitsereignisse überwachen und analysieren
Weiter oben haben wir illustriert, wie man sich mit der Ereignisanzeige die verschiedenen Protokolldateien ansieht. Die meisten Protokolldateien (wie Anwendung oder System) können von allen Benutzern angesehen werden. Das Protokoll Sicherheit hingegen ist nur für den Administrator zugänglich.
Sie können verschiedene Konfigurationsänderungen am Protokoll Sicherheit vornehmen. Die wichtigste davon ist die Vergrößerung der Protokollmaximalgröße. Die Vorgabe ist 16.384 KByte, was für eine oberflächliche Protokollierung in kleinen oder mittleren Unternehmen reicht. Bei größeren Unternehmen, die intensiv protokollieren, wird diese Größe schnell überschritten.
Wir haben weiter oben besprochen, wie man die Größe von Ereignisprotokollen manuell verändert. Es wäre aber ziemlich Zeit raubend, diese Einstellung bei jedem Server im Unternehmen einzeln durchzuführen. Um die Konfiguration der Ereignisprotokolle auf den Computern Ihres Unternehmens einheitlich zu gestalten, erstellen Sie eine Sicherheitsprotokoll-Richtlinie mithilfe des Gruppenrichtlinienobjekt-Editors. Nachdem die Richtlinie konfiguriert ist, kann sie wie jede andere Richtlinie auf die gewünschten Computer angewendet werden. Wie Sie die Größe des Protokolls Sicherheit für alle Computer einer Domäne verändern, zeigt die nächste Anleitung:
1. Wählen Sie START, VERWALTUNG, SICHERHEITSRICHTLINIE FÜR DOMÄNEN.
2. In der MMC Standard-Domänensicherheitseinstellungen (Bild 30) klicken Sie auf SICHERHEITSEINSTELLUNGEN, EREIGNISPROTOKOLL.
3. Die verfügbaren Richtlinien werden angezeigt. Doppelklicken Sie auf MAXIMALE GRÖßE DES SICHERHEITSPROTOKOLLS. Damit öffnen Sie das EIGENSCHAFTEN-Dialogfeld (Bild 31).
4. Setzen Sie die Protokollgröße auf 30.000 KByte. Klicken Sie dann auf OK.
5. Schließen Sie die MMC Standard-Domänensicherheitseinstellungen.
Das Aufzeichnen von Sicherheitsereignissen wird zur Erkennung von Eindringlingen verwendet. Wenn die Sicherheitsüberwachung und das Sicherheitsprotokoll entsprechend konfiguriert sind, ist es möglich, bestimmte Arten von Netzwerkeinbrüchen festzustellen, ehe sie erfolgreich sind. Ein Beispiel wäre eine Kennwortattacke, die in einem Netzwerk mit guten Kennwortrichtlinien sehr viel länger dauert, bis sie erfolgreich abgeschlossen werden kann. Das Sicherheitsprotokoll leistet auch gute Dienste nach einem Einbruch, denn so können Sie die Bewegungen und Aktionen des Hackers verfolgen und herausbekommen, wie er in das System kam. Doch die Sicherheitsprotokollierung ist nur dann effektiv, wenn sich der Netzwerkadministrator die Zeit nimmt, sie regelmäßig zu kontrollieren.