Windows 2000 verwendet die Kategorie Anmeldeereignisse überwachen, sobald sich ein Benutzer interaktiv (d. h. an der lokalen Tastatur und am Bildschirm) oder per Remotezugriff (also über das Netzwerk) anmeldet. Das Feld Anmeldetyp (Logon Type) der Ereignisbeschreibung enthält eine Ziffer, mit der die Art der Anmeldung angegeben wird. Dabei handelt es sich um eine der folgenden: interaktiv (2), über das Netzwerk (3), aufgrund einer Stapelverarbeitung (4), als Dienst (5), nicht gesperrte Arbeitsstation (7), Netzwerkanmeldung mit unverschlüsseltem Kennwort (8) bzw. Anmeldung mit Identitätswechsel (9).
Wie bereits bei NT bezeichnet die Ereignis-ID 528 (siehe Abbildung 4) eine erfolgreiche Anmeldung. Während NT jedoch die Ereignis-ID 528 für jeden Anmeldetyp verwendet hat, bezeichnet Windows 2000 die Netzwerkanmeldungen mit einer anderen Ereignis-ID. Sobald Sie auf ein freigegebenes Serverlaufwerk zugreifen, eine Verbindung mit der Registrierung des Servers herstellen oder auf andere Weise eine Netzwerkanmeldung durchführen, verwendet Windows 2000 die neue Ereignis-ID 540 (siehe Abbildung 5). Dieses neue Ereignis ist sinnvoll, weil Sie auf diese Weise die Anmeldungen über das Netzwerk von den anderen Anmeldearten unterscheiden können. (Dass Microsoft eine eigene Ereignis-ID für einen anderen wichtigen Anmeldetyp entwickelt, ist wünschenswert, nämlich den der interaktiven Anmeldungen.)
Allerdings protokolliert Windows 2000 mit der ID 540 auch eine ganze Reihe irrelevanter Ereignisse. Um diese Ereignisse von den wirklich wichtigen unterscheiden zu können, werfen Sie einen Blick auf das Feld Benutzername (User Name), in dem entweder ein normales Benutzerkonto, das Konto SYSTEM oder ein Computername mit angehängtem Dollarzeichen ($) angezeigt wird. Die Anzeige eines normalen Benutzerkontos verweist darauf, dass sich ein Benutzer über das Netzwerk am System angemeldet hat; es wird empfohlen, solchen Ereignissen Beachtung zu schenken. Ereignisse, die mit dem Kontonamen SYSTEM versehen sind, können Sie vernachlässigen, da es sich dabei um einen Dienst des Systems handelt, der eine Verbindung mit einem anderen Dienst desselben Systems hergestellt hat. Auch Ereignisse, deren Benutzernamen durch einen Computernamen mit angehängtem Dollarzeichen ($) dargestellt werden, sind weniger relevant, da dies Systemdienste eines Remotesystems sind, die mit einem Systemdienst des lokalen Systems verbunden sind. (Dies ist z. B. dann der Fall, wenn eine Windows 2000 Professional-Arbeitsstation gestartet und zum Abfragen von AD-Informationen [Active Directory] und anderen Domänendiensten eine Verbindung mit dem Domänencontroller hergestellt wird. Damit auf diese Domänendienste zugegriffen werden kann, muss sich die Arbeitsstation zuerst am Domänencontroller anmelden.)
Im Feld Domäne (Domain) der Ereignis-IDs 528 und 540 wird die Domäne identifiziert, in der sich das betreffende Benutzerkonto befindet. Dabei wird in diesem Feld der von Windows 2000 NetBIOS festgelegte Domänenname und nicht die DNS-Version des Domänennamens angegeben. Falls sich ein Benutzer mithilfe eines lokalen SAM-Kontos eines Systems anmeldet, wird im Feld Domäne (Domain) der NetBIOS-Name des betreffenden Computers angezeigt. Sie werden in einer Domänenumgebung nicht allzu häufig auf Anmeldungen mit lokalen Benutzerkonten stoßen. Softwareattacken werden aber häufig gegen die lokalen SAM-Konten, und dabei besonders das Administratorkonto gerichtet. Deshalb sollten Sie auf die Ereignis-IDs 528 und 540 achten, bei denen der Wert des Feldes Domäne (Domain) dem des Feldes Computer entspricht.
Mithilfe der Felder Anmeldevorgang und Authentifizierungspakete können Sie ermitteln, mit welchem Authentifizierungsprotokoll Windows 2000 den Benutzer mit dem System verbunden hat. Sofern sich ein Benutzer über das Netzwerk an ein Windows 2000-System anmeldet, handelt Windows 2000 aus, welches der beiden möglichen Authentifizierungsprotokolle verwendet wird: NT LAN-Manager - NTLM - oder Kerberos. Dabei ist es wichtig, Systeme zu identifizieren, die Kerberos nicht verwenden, da NTLM schwächer ist als Kerberos und derartige Systeme anfälliger gegen Softwareattacken sind.
Bei Windows 2000 wird die Verwendung des stärkeren Internetstandards Kerberos bevorzugt. Dies funktioniert jedoch nur unter Windows 2000-Systemen mit einer besonderen Vertrauensstellung (also Systeme der gleichen Struktur sowie Systeme einer Domäne, die durch eine explizit definierte unidirektionale Vertrauensstellung verbunden sind). Eine korrekte Installation vorausgesetzt, können auch Windows 2000-fremde Systeme mit dem MIT (Massachusetts Institute of Technology) Kerberos 5.0 Kerberos von Windows 2000-Systemen verwenden. In allen anderen Fällen (also wenn es sich bei dem Computer entweder um ein Windows 2000-System handelt, das nicht zu einer Domäne gehört, oder eines der beiden Systeme ein NT-System ist) wechselt Windows 2000 zum schwächeren NTLM-Protokoll, welches allerdings relativ anfällig für Softwareattacken ist, wie z. B. Ausspähen und Kennwortentschlüsselung. (Sie können ein System zwar auf NTLMv2 aktualisieren, um einen gewissen Schutz gegen unberechtigte Zugriffe zu erhalten, aber diese riskanten NTLM-Pakete verbleiben so lange im Netzwerk, bis Sie alle Systeme zu Windows 2000 migriert haben. Weitere Informationen zu NTLMv2 finden Sie in Inside SP4 NTLMv2 Security Enhancements (englischsprachig), September 1999.)
Sobald Sie sämtliche Clientcomputer aktualisiert haben, die eine Verbindung mit einem bestimmten Server herstellen, sollten Sie das Sicherheitsprotokoll dieses Servers nach Ereignissen mit der ID 540 durchsuchen, bei denen das Authentifizierungspaket NTLM statt Kerberos lautet. Wenn Sie dann noch NTLM-Anmeldungen finden, können Sie das Feld Arbeitsstationsname überprüfen, um den NetBIOS-Namen des Clientcomputers zu ermitteln. (Falls Windows 2000 Kerberos verwendet, ist dieses Feld leer.)
Über die Anmelde-ID, die in beiden Ereignissen vorhanden ist, können Sie ein erfolgreiches Anmeldeereignis (also Ereignis-ID 528 bzw. 540) mit dem entsprechenden Abmeldeereignis verknüpfen (wie NT zeichnet auch Windows 2000 erfolgreiche Abmeldungen mit der Ereignis-ID 538 auf). Angenommen, Sie stellen ein Anmeldeereignis für den Administrator um 13.27 Uhr fest und möchten nun wissen, wann sich der Administrator wieder abgemeldet hat. Merken Sie sich die Anmelde-ID in Ereignis 528 (also 0x0, 0xEC87 in Abbildung 4), klicken Sie im Ereignisprotokoll mit der rechten Maustaste auf das Sicherheitsprotokoll, und klicken Sie dann auf Ansicht/Suchen (View/Find), um das Ereignisprotokoll dieser ID zu suchen. Allerdings hat diese Sache auch einen Haken. Windows 2000 ist von dem gleichen Softwareproblem betroffen wie NT. Das Betriebssystem zeichnet gelegentlich das Ereignis mit der ID 538 nicht auf (bei Windows 2000 habe ich dieses Problem allerdings lediglich bei interaktiven Anmeldungen feststellen können). Mit anderen Worten werden Sie unter Umständen ein Ereignis mit der ID 528 feststellen, für das es kein Ereignis 538 gibt.
Fehlgeschlagene Anmeldungen
Die Ereignisse für fehlgeschlagene Anmeldungen unterscheiden sich bei Windows 2000 kaum von denen in Windows NT. Sobald ein Benutzer versucht, eine Anmeldung mit einem ungültigen Benutzernamen bzw. Kennwort durchzuführen, zeichnet Windows 2000 das Ereignis mit der ID 529 auf. Wurde das Konto des Benutzers deaktiviert oder gesperrt, handelt es sich um Ereignisse mit den IDs 531 bzw. 539. Versucht ein Benutzer dagegen, sich außerhalb der für sein Konto zulässigen Wochentage oder Uhrzeiten anzumelden, zeichnet Windows 2000 das Ereignis mit der ID 530 auf. Bei Ablauf der Gültigkeit eines Kontos bzw. eines Kennwortes werden entsprechend die IDs 532 oder 535 protokolliert. Wird das Anmelden eines Benutzers auf bestimmte Arbeitsstationen beschränkt und der Benutzer versucht, diese Beschränkung zu verletzen, zeichnet Windows 2000 das Ereignis 533 auf.
Sie können auch durch Vergeben von Rechten Benutzer auf bestimmte Anmeldearten und bestimmte Systeme einschränken. Wenn dann z. B. ein Benutzer nicht das Recht hat, auf einen bestimmten Computer vom Netzwerk aus zuzugreifen, der Benutzer aber trotzdem einen Zugriff auf eine Netzwerkfreigabe oder das Anzeigen der Registrierung dieses Systems versucht, wird im Protokoll Ereignis 534 aufgezeichnet. Dieses Ereignis wird auch dann festgehalten, wenn ein Benutzer versucht, sich an der Konsole anzumelden, aber nicht über die Berechtigung für eine lokale Anmeldung verfügt. Ein Dienst, der das Verwenden eines Kontos versucht, das nicht über die Berechtigung für das Anmelden als Dienst verfügt, löst Ereignis 534 aus. Dies trifft auch für Prozesse zu, die mit einem Konto ohne entsprechende Berechtigung versuchen, sich als Stapelverarbeitungsauftrag anzumelden. Bei einem Fehlschlag mit anderer Ursache, wird Ereignis ID 537 sowie die folgende Erklärung angezeigt: Während der Anmeldung ist ein unerwarteter Fehler aufgetreten. All diese fehlgeschlagenen Anmeldeereignisse werden mit entsprechenden Anmeldetypinformationen angezeigt, die es Ihnen ermöglichen, die fehlgeschlagenen Anmeldungen an der lokalen Konsole von den Versuchen zu unterscheiden, die über das Netzwerk unternommen wurden.
Bleiben Sie auf dem Laufenden…
Die Kategorie Anmeldeereignisse überwachen stellt eine Menge nützlicher Informationen bereit. Denken Sie allerdings daran, dass Windows 2000 sämtliche Ereignisse dieser Kategorie im Protokoll des jeweiligen lokalen Systems speichert. Das bedeutet aber, dass Sie alle An- und Abmeldeaktivitäten sowie verdächtige fehlgeschlagene Anmeldeversuche immer auf den jeweiligen Arbeitsstationen und Servern nachverfolgen müssen, was bei großen Netzwerken praktisch nicht möglich ist. Problemlos kann hier auf die Überwachungskategorie Anmeldeversuche überwachen von Windows 2000 zurückgegriffen werden. Mit dieser Kategorie werde ich mich eingehend im nächsten Teil dieser Reihe befassen.
Informationen zum Autor
Randy Franklin Smith ist freier Redakteur für das Windows 2000 Magazine und Vorsitzender der Monterey Technology Group. Er schreibt die 14-tägig erscheinende Kolumne über die Windows 2000-Sicherheit für den Windows NT Security Channel im englischsprachigen Windows 2000 Magazine Network. Sie können ihn unter rsmith@montereytechgroup.com erreichen.
Der vorliegende Artikel erscheint mit freundlicher Genehmigung von Windows 2000 Magazine. Klicken Sie hier, um Windows 2000 Magazin bzw. hier, um die englischsprachige Ausgabe zu abonnieren.
Das Team der Microsoft Corporation hofft, dass die Informationen in diesem Dokument für Sie von Nutzen sind. Die Verwendung der in diesem Dokument enthaltenen Informationen erfolgt jedoch auf eigene Gefahr. Alle Informationen werden wie besehen bereitgestellt, ohne jede Gewährleistung, sei sie ausdrücklich oder konkludent, für die Richtigkeit, die Vollständigkeit, die Eignung für einen bestimmten Zweck, den Eigentumsvorbehalt oder die Nichtverletzung von Rechten Dritter, und keine der in diesem Dokument genannten Fremdherstellerprodukte oder Informationen von Dritten wurden/werden von der Microsoft Corporation verfasst, empfohlen oder unterstützt, und Microsoft Corporation übernimmt keine Garantie dafür. Die Microsoft Corporation kann nicht für Schäden haftbar gemacht werden, die aus der Verwendung dieser Informationen entstehen, ungeachtet dessen, ob es sich um direkte oder indirekte, spezielle, zufällig entstandene oder Folgeschäden handelt, selbst dann nicht, wenn Microsoft Corporation auf die mögliche Entstehung solcher Schäden hingewiesen wurde. Sämtliche Preise für die in diesem Dokument genannten Produkte können ohne vorherige Ankündigung geändert werden.
|
