Workshop: Wichtige Unternehmensdaten schützen NTFS-Überwachung deckt Schwachstellen auf

Von Thomas Joos |

Anbieter zum Thema

Das NTFS-Dateisystem bietet die Möglichkeit, den Zugriff auf Dateien nicht nur zu steuern, sondern auch zu überwachen. Administratoren können so feststellen, welcher Benutzer Dokumente verändert oder gelöscht hat. Damit das funktioniert, sind einige Parameter zu konfigurieren.

Berechtigungen für den Zugriff auf Freigaben werden auf Ebene der Freigabe und des Verzeichnisses vorgenommen.
Berechtigungen für den Zugriff auf Freigaben werden auf Ebene der Freigabe und des Verzeichnisses vorgenommen.
(Bild: Microsoft)

Um die notwendigen Einstellungen zur NTFS-Überwachung zu aktivieren, können Administratoren auch Gruppenrichtlinien erstellen. Für die Einrichtung müssen verschiedene Konfigurationen gesetzt werden. Die Einstellungen sind in aktuellen Windows-Systemen genauso umsetzbar, wie mit Windows 10 und Windows Server 2016.

Zunächst heißt es, für das entsprechende Objekt - Verzeichnisse und Dokumente, deren Verwendung kontrolliert werden soll - die Überwachung per Gruppenrichtlinie zu aktivieren. Danach müssen die Einträge im Sicherheits-Protokoll der Ereignisanzeige geprüft werden.

Bildergalerie
Bildergalerie mit 6 Bildern

Zugriffe auf notwendige Benutzer beschränken

Vor der eigentlichen Überwachung sollten Administratoren dafür sorgen, dass nur berechtigte Anwender auf die Daten zugreifen dürfen. Dadurch wird der Zugriff schon einmal eingeschränkt. Die Einstellungen werden in den Eigenschaften der Freigabe und des Verzeichnisses vorgenommen.

Hier lässt sich zwischen den Rechten für die Freigabe und den Rechten auf das Dateisystem unterscheiden. Mit Freigaberechten greifen Anwender über das Netzwerk zu, die Dateisystemrechte regeln den Zugang auf das eigentliche Verzeichnis. Das heißt, der eigentliche Zugriff ist immer eine Kombination beider Rechte.

Um die Berechtigungen mehrerer Verzeichnisse zu überprüfen, bietet Microsoft das kostenlose Tool AccessEnum an. Mit diesem Werkzeug können Administratoren ganze Verzeichnisstrukturen scannen und deren Rechte auslesen.

Das Tool zeigt auch an, wenn Administratoren Rechte für einen Ordner oder eine Datei verweigern. Während der Ordnername in der Spalte Path zu sehen ist, werden in der Spalte Read die entsprechenden Rechte der Anwender angezeigt.

Ein Anwender, der zum Beispiel Schreibrechte auf den Ordner c:\users\joost und alle darunterliegenden Ordner besitzt, aber über kein Schreibrecht auf den Ordner C:\Users verfügt, wird mit dem Eintrag C:\Users\Joost und dem Namen des Kontos in der Spalte Write dargestellt. Mit einem Klick auf die Spaltenüberschriften lassen sich die Einträge sortieren.

Überwachung kann sinnvoll sein - Gruppenrichtlinie konfigurieren

Vor allem wenn in Verzeichnissen wichtige Daten gespeichert sind, und mehrere Anwender Zugriff nehmen können, macht es Sinn die Überwachung zu aktivieren. So lässt sich immer einsehen, welcher Benutzer Änderungen an einer Datei vornimmt oder diese sogar löscht. Auch das Lesen von Dokumenten lässt sich nachvollziehen. Diese Form der Überwachung lässt sich mit allen gängigen Windows-Systemen durchführen -- auch auf den Arbeitsstationen.

Über Gruppenrichtlinien wird die generelle Konfiguration der Überwachung aktiviert. Dazu erstellen Administratoren ein neues GPO und nehmen die Einstellungen zur Überwachung vor. Anschließend verknüpfen sie dieses GPO mit den Organisationseinheiten, in denen sich die Serverkonten befinden, deren Verzeichnisse überwacht werden sollen.

Wie das organisiert wird, ist Sache der eigenen Anforderungen. Entweder verknüpfen Administratoren die GPO mit verschiedenen OUs. Oder sie verschieben alle zu überwachenden Server in eine OU, mit der auch das GPO verknüpft wird. Grundsätzlich ist es sinnvoll zur NTFS-Überwachung eine neue Gruppenrichtlinie anzulegen, statt eine vorhandene zu verwenden. Das verbessert die Übersicht und die Überwachung lässt sich leichter wieder deaktivieren.

Die notwendigen Einstellungen befinden sich bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration/Überwachungsrichtlinien/Objektzugriff.

Überwachung für NTFS konfigurieren

Auf der rechten Seite ist der Eintrag Dateisystem überwachen zu sehen. Hier wird die Überwachung auf Ebene des NTFS-Systems gesteuert. In den Einstellungen muss dazu zunächst die Option "Folgende Überwachungsereignisse konfigurieren" aktiviert werden. Danach kann festgelegt werden, ob erfolgreiche Zugriffe auf das entsprechende Verzeichnis überwacht werden sollen (Erfolg) oder auch fehlerhafte, die Windows blockiert hat (Fehler). Dadurch lassen sich zum Beispiel Hacker-Angriffe aufdecken.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Überwachung darf nur von Administratoren auf den Servern vorgenommen werden. Soll das Recht zur Überwachung delegiert werden, lässt sich das ebenfalls in den Gruppenrichtlinien steuern. Die Einstellung "Verwalten von Überwachungs- und Sicherheitsprotokollen" steuern Administratoren über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten.

Die Richtlinie muss anschließend mit den entsprechenden Organisationseinheiten verknüpft werden. Auf den Zielrechnern wird diese sobald der Rechner neu startet oder in regelmäßigen Abständen angewendet beziehungsweise wenn Administratoren in der Befehlszeile des entsprechenden Servers den Befehl gpupdate/force eingeben.

Zu überwachende Verzeichnisse konfigurieren

Auch wenn die Gruppenrichtlinie aktiviert ist, überwacht Windows nicht alle Verzeichnisse und Dateien auf allen Computern. Administratoren müssen gezielt festlegen, welche Verzeichnisse überwacht werden sollen. Die hierfür nötigen Einstellungen finden sich in den Eigenschaften des Verzeichnisses auf der Registerkarte Sicherheit und lassen sich durch einen Klick auf "Erweitert" und das Öffnen der Registerkarte Überwachung aufrufen.

Über die Schaltfläche "Hinzufügen" muss über "Prinzipal auswählen" zunächst die Benutzergruppe oder das Konto ausgewählt werden, das überwacht werden soll. Danach können Administratoren festlegen, ob nur erfolgreiche oder alle Zugriffe überwacht und ob diese auch für untergeordnete Verzeichnisse und Dateien aktiviert werden soll. An dieser Stelle lassen sich jederzeit Änderungen vornehmen und weitere Prinzipale hinzufügen. Sollen alle Benutzer der Domäne überwacht werden können Administratoren zum Beispiel die Gruppe Domänen-Benutzer hinzufügen.

Im Bereich "Grundlegende Berechtigungen" wird festgelegt, welche Zugriffe überwacht werden sollen. Durch Aktivierung der Option "Diese Überwachungseinstellungen nur auf Objekte und/oder Container in diesem Container anwenden" wird die Überwachung zwar generell vererbt. Allerdings nicht mehr unendlich nach unten, sollten einem Verzeichnis beispielsweise zahlreiche weitere Unterordner zugeordnet sein. Die Überwachung lässt sich aber auch in den entsprechenden Unterverzeichnissen deaktivieren, indem Administratoren die Vererbung deaktivieren.

Windows-Ereignisanzeige zur Überwachung nutzen

Nachdem die Überwachung konfiguriert wurde, füllt sich das Protokoll Sicherheit in der Ereignisanzeige. Dieses starten Administratoren am schnellsten durch Eingabe von eventvwr.msc. Über Windows-Protokolle\Sicherheit sind die Einträge zu finden. Hier sehen Administratoren genau, wenn ein Anwender eine überwachte Aktion durchführt.

Wird die Überwachung für zahlreiche Objekte vorgenommen, sollten auch die Eigenschaften des Protokolls angepasst werden. Diese rufen Administratoren über das Kontextmenü des Protokolls auf. In den Eigenschaften lässt sich steuern, wie groß das Protokoll maximal sein darf und ob Windows alte Einträge überschreiben darf.

Damit Administratoren Einträge effizient suchen können, hilft im Kontextmenü entweder der Befehl "Suchen", oder das Erstellen eines Filters. Die Überwachung ist über die Quelle Microsoft Windows security auditing zu finden. Soll diese wieder deaktiviert werden, lässt sich dies über das entsprechende Verzeichnis oder in der Gruppenrichtlinie vornehmen. Soll die Überwachung delegiert werden, können die Protokolle auch mit Ereignisanzeige-Abonnements an andere Server geschickt werden.

Alternative Tools für die Ereignisanzeigenauswertung

Das Tool Event Log Explorer von FS Pro Labs kann die Ereignisanzeigen von bis zu drei Computer im Netzwerk kostenlos anzeigen. Wollen Administratoren mehr Rechner anbinden, muss die kostenpflichtige Version eingesetzt werden. Der Vorteil des Tools ist die übersichtliche Darstellungsweise. Administratoren können für einzelne angebundene Computer eigene Anmeldeinformationen hinterlegen.

GFI Events Manager steht zwar nicht kostenlos zur Verfügung, lässt sich aber 14 Tage testen.

EventSentry ist eine Monitoring-Software für die Ereignisanzeige. Die Lösung bietet die zudem Möglichkeit, sobald bestimmte Ereignismeldungen in den Protokollen der Server auftauchen, Informationen per E-Mail zu versenden.

(ID:43671620)