:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Workshop: Wichtige Unternehmensdaten schützen NTFS-Überwachung deckt Schwachstellen auf
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Das NTFS-Dateisystem bietet die Möglichkeit, den Zugriff auf Dateien nicht nur zu steuern, sondern auch zu überwachen. Administratoren können so feststellen, welcher Benutzer Dokumente verändert oder gelöscht hat. Damit das funktioniert, sind einige Parameter zu konfigurieren.
Um die notwendigen Einstellungen zur NTFS-Überwachung zu aktivieren, können Administratoren auch Gruppenrichtlinien erstellen. Für die Einrichtung müssen verschiedene Konfigurationen gesetzt werden. Die Einstellungen sind in aktuellen Windows-Systemen genauso umsetzbar, wie mit Windows 10 und Windows Server 2016.
Zunächst heißt es, für das entsprechende Objekt - Verzeichnisse und Dokumente, deren Verwendung kontrolliert werden soll - die Überwachung per Gruppenrichtlinie zu aktivieren. Danach müssen die Einträge im Sicherheits-Protokoll der Ereignisanzeige geprüft werden.
:quality(80)/p7i.vogel.de/wcms/39/21/39212ab6240d641a96d20db6bed3e534/47107526.jpeg "Berechtigungen für den Zugriff auf Freigaben werden auf Ebene der Freigabe und des Verzeichnisses vorgenommen.")
:quality(80)/p7i.vogel.de/wcms/3f/51/3f51e3fd2b5e7cdd581d5d9e9d461434/47107532.jpeg "Mit AccessEnum lassen sich Zugriffsrechte auf Verzeichnisse genau überprüfen.")
:quality(80)/p7i.vogel.de/wcms/42/2f/422fe33595c217810c2cb2c94853e8fe/47107543.jpeg "In den Eigenschaften der Gruppenrichtlinieneinstellung \"Dateisystem überwachen\" wird die notwendige Konfiguration für die Überwachung von NTFS gesetzt.")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d5566731024e018137250b3a58f7e/47107965.jpeg "Die Überwachung wird in den Eigenschaften von Verzeichnissen aktiviert.")
Zugriffe auf notwendige Benutzer beschränken
Vor der eigentlichen Überwachung sollten Administratoren dafür sorgen, dass nur berechtigte Anwender auf die Daten zugreifen dürfen. Dadurch wird der Zugriff schon einmal eingeschränkt. Die Einstellungen werden in den Eigenschaften der Freigabe und des Verzeichnisses vorgenommen.
Hier lässt sich zwischen den Rechten für die Freigabe und den Rechten auf das Dateisystem unterscheiden. Mit Freigaberechten greifen Anwender über das Netzwerk zu, die Dateisystemrechte regeln den Zugang auf das eigentliche Verzeichnis. Das heißt, der eigentliche Zugriff ist immer eine Kombination beider Rechte.
Um die Berechtigungen mehrerer Verzeichnisse zu überprüfen, bietet Microsoft das kostenlose Tool AccessEnum an. Mit diesem Werkzeug können Administratoren ganze Verzeichnisstrukturen scannen und deren Rechte auslesen.
Das Tool zeigt auch an, wenn Administratoren Rechte für einen Ordner oder eine Datei verweigern. Während der Ordnername in der Spalte Path zu sehen ist, werden in der Spalte Read die entsprechenden Rechte der Anwender angezeigt.
Ein Anwender, der zum Beispiel Schreibrechte auf den Ordner c:\users\joost und alle darunterliegenden Ordner besitzt, aber über kein Schreibrecht auf den Ordner C:\Users verfügt, wird mit dem Eintrag C:\Users\Joost und dem Namen des Kontos in der Spalte Write dargestellt. Mit einem Klick auf die Spaltenüberschriften lassen sich die Einträge sortieren.
Überwachung kann sinnvoll sein - Gruppenrichtlinie konfigurieren
Vor allem wenn in Verzeichnissen wichtige Daten gespeichert sind, und mehrere Anwender Zugriff nehmen können, macht es Sinn die Überwachung zu aktivieren. So lässt sich immer einsehen, welcher Benutzer Änderungen an einer Datei vornimmt oder diese sogar löscht. Auch das Lesen von Dokumenten lässt sich nachvollziehen. Diese Form der Überwachung lässt sich mit allen gängigen Windows-Systemen durchführen -- auch auf den Arbeitsstationen.
Über Gruppenrichtlinien wird die generelle Konfiguration der Überwachung aktiviert. Dazu erstellen Administratoren ein neues GPO und nehmen die Einstellungen zur Überwachung vor. Anschließend verknüpfen sie dieses GPO mit den Organisationseinheiten, in denen sich die Serverkonten befinden, deren Verzeichnisse überwacht werden sollen.
Wie das organisiert wird, ist Sache der eigenen Anforderungen. Entweder verknüpfen Administratoren die GPO mit verschiedenen OUs. Oder sie verschieben alle zu überwachenden Server in eine OU, mit der auch das GPO verknüpft wird. Grundsätzlich ist es sinnvoll zur NTFS-Überwachung eine neue Gruppenrichtlinie anzulegen, statt eine vorhandene zu verwenden. Das verbessert die Übersicht und die Überwachung lässt sich leichter wieder deaktivieren.
Die notwendigen Einstellungen befinden sich bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration/Überwachungsrichtlinien/Objektzugriff.
Überwachung für NTFS konfigurieren
Auf der rechten Seite ist der Eintrag Dateisystem überwachen zu sehen. Hier wird die Überwachung auf Ebene des NTFS-Systems gesteuert. In den Einstellungen muss dazu zunächst die Option "Folgende Überwachungsereignisse konfigurieren" aktiviert werden. Danach kann festgelegt werden, ob erfolgreiche Zugriffe auf das entsprechende Verzeichnis überwacht werden sollen (Erfolg) oder auch fehlerhafte, die Windows blockiert hat (Fehler). Dadurch lassen sich zum Beispiel Hacker-Angriffe aufdecken.
Die Überwachung darf nur von Administratoren auf den Servern vorgenommen werden. Soll das Recht zur Überwachung delegiert werden, lässt sich das ebenfalls in den Gruppenrichtlinien steuern. Die Einstellung "Verwalten von Überwachungs- und Sicherheitsprotokollen" steuern Administratoren über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten.
Die Richtlinie muss anschließend mit den entsprechenden Organisationseinheiten verknüpft werden. Auf den Zielrechnern wird diese sobald der Rechner neu startet oder in regelmäßigen Abständen angewendet beziehungsweise wenn Administratoren in der Befehlszeile des entsprechenden Servers den Befehl gpupdate/force eingeben.
Zu überwachende Verzeichnisse konfigurieren
Auch wenn die Gruppenrichtlinie aktiviert ist, überwacht Windows nicht alle Verzeichnisse und Dateien auf allen Computern. Administratoren müssen gezielt festlegen, welche Verzeichnisse überwacht werden sollen. Die hierfür nötigen Einstellungen finden sich in den Eigenschaften des Verzeichnisses auf der Registerkarte Sicherheit und lassen sich durch einen Klick auf "Erweitert" und das Öffnen der Registerkarte Überwachung aufrufen.
Über die Schaltfläche "Hinzufügen" muss über "Prinzipal auswählen" zunächst die Benutzergruppe oder das Konto ausgewählt werden, das überwacht werden soll. Danach können Administratoren festlegen, ob nur erfolgreiche oder alle Zugriffe überwacht und ob diese auch für untergeordnete Verzeichnisse und Dateien aktiviert werden soll. An dieser Stelle lassen sich jederzeit Änderungen vornehmen und weitere Prinzipale hinzufügen. Sollen alle Benutzer der Domäne überwacht werden können Administratoren zum Beispiel die Gruppe Domänen-Benutzer hinzufügen.
Im Bereich "Grundlegende Berechtigungen" wird festgelegt, welche Zugriffe überwacht werden sollen. Durch Aktivierung der Option "Diese Überwachungseinstellungen nur auf Objekte und/oder Container in diesem Container anwenden" wird die Überwachung zwar generell vererbt. Allerdings nicht mehr unendlich nach unten, sollten einem Verzeichnis beispielsweise zahlreiche weitere Unterordner zugeordnet sein. Die Überwachung lässt sich aber auch in den entsprechenden Unterverzeichnissen deaktivieren, indem Administratoren die Vererbung deaktivieren.
Windows-Ereignisanzeige zur Überwachung nutzen
Nachdem die Überwachung konfiguriert wurde, füllt sich das Protokoll Sicherheit in der Ereignisanzeige. Dieses starten Administratoren am schnellsten durch Eingabe von eventvwr.msc. Über Windows-Protokolle\Sicherheit sind die Einträge zu finden. Hier sehen Administratoren genau, wenn ein Anwender eine überwachte Aktion durchführt.
Wird die Überwachung für zahlreiche Objekte vorgenommen, sollten auch die Eigenschaften des Protokolls angepasst werden. Diese rufen Administratoren über das Kontextmenü des Protokolls auf. In den Eigenschaften lässt sich steuern, wie groß das Protokoll maximal sein darf und ob Windows alte Einträge überschreiben darf.
Damit Administratoren Einträge effizient suchen können, hilft im Kontextmenü entweder der Befehl "Suchen", oder das Erstellen eines Filters. Die Überwachung ist über die Quelle Microsoft Windows security auditing zu finden. Soll diese wieder deaktiviert werden, lässt sich dies über das entsprechende Verzeichnis oder in der Gruppenrichtlinie vornehmen. Soll die Überwachung delegiert werden, können die Protokolle auch mit Ereignisanzeige-Abonnements an andere Server geschickt werden.
Alternative Tools für die Ereignisanzeigenauswertung
Das Tool Event Log Explorer von FS Pro Labs kann die Ereignisanzeigen von bis zu drei Computer im Netzwerk kostenlos anzeigen. Wollen Administratoren mehr Rechner anbinden, muss die kostenpflichtige Version eingesetzt werden. Der Vorteil des Tools ist die übersichtliche Darstellungsweise. Administratoren können für einzelne angebundene Computer eigene Anmeldeinformationen hinterlegen.
GFI Events Manager steht zwar nicht kostenlos zur Verfügung, lässt sich aber 14 Tage testen.
EventSentry ist eine Monitoring-Software für die Ereignisanzeige. Die Lösung bietet die zudem Möglichkeit, sobald bestimmte Ereignismeldungen in den Protokollen der Server auftauchen, Informationen per E-Mail zu versenden.
(ID:43671620)
:quality(80)/images.vogel.de/vogelonline/bdb/1924900/1924918/original.jpg "In diesem Video-Tipp zeigen wir, wie man mit dem Open-Source-Tool Process Hacker unter Windows Prozesse in Echtzeit überwacht und steuert. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917406/original.jpg "AccessChk ist ein kostenloses Sysinternals-Tool für Microsoft Windows zur detaillierte Anzeige von Benutzerrechten auf einem Windows-System. (gemeinfrei)")