Letzte Änderung: 22.6.98 von B. Tritsch
Wichtiger Teil bei einem Netzwerk-Betriebssystem ist die Überwachung der Zugriffe auf die Server und die Kontrolle der Serverzustände.
Die Überwachung des Systems ist als Funktion der lokalen Gruppe der Administratoren zugeordnet. Jedoch wird immer die letzte Aktion eines Administrators aus Sicherheitsgründen in geeigneter Form protokolliert und zur Kontrolle aufbewahrt. Das heißt, auch wenn ein Administrator alle protokollierten Kontrollinformationen löschen würde, wäre der Löschvorgang selbst wieder der erste Eintrag der neuerlichen Protokollinformation!
Überwachbare Systemfunktionen sind im einzelnen:
Die Überwachung der Datei- und Objektzugriffe wird über den Datei-Manager und den dortigen Menüpunkten <Sicherheit> <Überwachen> durch einen Administrator gestartet (Auditing). Alle anderen Überwachungsfunktionen werden mit dem Menüpunkt <Überwachung> im Benutzer-Manager festgelegt.
Das Werkzeug für die Einsicht der Überwachungsinformationen ist die Ereignisanzeige. Sie ersetzt dadurch die Ausgabe von Nachrichtenfenster an Benutzer, die mit deren Inhalt in der Regel nicht allzu viel anfangen können. Die Nachrichten über Systemereignisse sind viel mehr für Administratoren gedacht und werden daher als Protokolle von einem speziellen Systemdienst gesichert. Die Ereignisanzeige kann hierbei Protokolle für System-, Sicherheits- und Anwendungs-Ereignisse anzeigen und verwalten, sowie diese Ereignisprotokolle archivieren. Der dafür benötigte Ereignisprotokollierdienst wird automatisch beim Start von Windows NT initialisiert.
Abbildung 7.1: System-Ereignisanzeige bei einem NT-Server
Das Hauptfenster der Ereignisanzeige zeigt die im folgenden aufgeführten Informationen für die ausgewählte Protokollkategorie an. Hierbei gilt es zu beachten, daß das Sicherheitsprotokoll nur von Administratoren betrachtet werden kann.
Der Menüpunkt <Protokoll> <Computer auswählen...> erlaubt es Domäne-Administratoren auch die Protokollinformationen anderer Computer unter Windows NT im Netzwerk abzurufen. Dies ist insbesondere nützlich, wenn ein Benutzer ein instabiles Systemmeldet und der Administrator durch einen Fernzugriff eine erste Diagnose stellen möchte.
Wird der Umfang der Protokolleinträge zu groß für die gezielte Analyse bestimmter Ereignisse, so lassen sich Filterfunktionen einsetzen. Das zugehörige Dialogfenster wird über den Menüpunkt <Ansicht> <Ereignisse filtern...> aktiviert.
Abbildung 7.2: Dialog für die Filterung bestimmter Ereignisse innerhalb der Ereignisanzeige
Zu Archivierungszwecken können die Protokolle in Dateien gesichert werden. Diese lassen sich mit verschiedensten Werkzeugen (z.B. Crystal Report, MS-Excel) auswerten und aufbereiten. In vielen Unternehmen gehört das Aufbewahren der Protokollinformationen zur Firmenpolitik. Hierdurch können insbesondere Sicherheitsverstöße von Mitarbeitern auch im Nachhinein rekonstruiert werden.
Sollen die Protokolle regelmäßig gesichert werden, dürfen keine Informationen verloren gehen. Dies erreicht man durch entsprechende Einstellungen der Protokollgrößen und der Definition, wie ältere Protokolleinträge behandelt werden.
Abbildung 7.3: Einstelloptionen der Ereignisanzeige im Bezug auf die maximale Größe des Protokolls und der Behandlung alter Ereignisse
Wird als Protokollfortsetzung die Option gewählt, daß Ereignisse nie überschrieben werden, so kann es doch einmal geschehen, daß normale Benutzer mit einer administrativen Meldung konfrontiert werden. Diese besagt dann, daß die Ereignisdatei voll ist und von einem Administrator gesichert werden soll. In diesem Fall wird der Benutzer in der Regel den Administrator informieren, um die immer wiederkehrende Meldung durch eine entsprechende Aktion abstellen zu lassen.
Werden Sicherheitereignisse mitprotokolliert, so läßt sich auch das Löschen der Protokollinformationen überwachen. Dies ist zwingend notwendig, wenn ein Administrator, der nach einer unberechtigten Aktion versucht seine Spuren zu verwischen, von seinen Administratorkollegen überführt werden soll. Hierzu kann es jedoch nötig sein, daß alle beteiligten Administratoren ihr eigenes administratives Konto mit zugehörigem individuellen Benutzernamen besitzen und verwenden.