schizophrenchen

Hallo NilsK, danke für das Feedback! "Keine Rückfragen bitte" hast du falsch verstanden. Ich empfinde es einfach nicht als zielführend, wenn man in einem Forum ein Problem beschreibt, und die Antworten die kommen,"nur" darauf abzielen, eine alternative Lösung vorzuschlagen. Manchmal weiß man wirklich warum man eine Frage so stellt, wie man sie stellt. Und wenn einem Alternativen nicht weiter helfen, muss man irgendwie äußern, dass man nur Antworten auf die Frage haben möchte und nicht "weshalb" möchtest du das denn tun... Vielleicht habe ich mich da in der Wortwahl vergriffen, aber der Inhalt bleibt so stehen. Übrigens, was den Dritt Anbieter Markt angeht: Das ist meine Kern Kompetenz. Aber glaube mir: auch, wenn du eine Lösung hast, die genau das tut (Logdaten einsammeln), möchtest du lieber Logdaten von 10 Quellen holen, statt von 10000. Und deshalb holen wir - Logon/Logoff vom DC - AV Logs vom AV Management - FW Logs vom FW Management, usw.... Und übrigens: "Keine Rückfragen bitte" habe ich nicht geschrieben. Meine Aussage, die eine Bitte war, war völlig anders forumliert. Danke trotzdem für eure Antworten... Schizo

Hi wernbert, ich kenne Cisco nun nicht im Detail, aber eigentlich alle VPN Lösungen haben die Eigenschaft, dass sie einem Client, der sich erfolgreich verbindet, eine IP aus einem konfigurierbaren, firmeninternen Bereich zuweisen. D.h. wenn euer Kunde A per VPN in euer Netz kommt, und eine Adresse aus dem Bereich 10.1.1.0/27 erhält (und Kunde B würde eine aus dem Bereich 10.1.1.32/27 erhalten), dann lässt sich doch über eine Firewall Policy sagen, dass VPN Clients aus dem Netz 10.1.1.0/27 nur RDP Protokoll (TCP 3389) zu deinem RDP Server sprechen dürfen. Wäre das ein Ansatz? Eine zweite Möglichkeit wäre die Nutzung von SSL-VPN. Da kannst du auf User- und Applikationsebene Resourcen für die Nutzung bereitstellen. Gruß, Schizo

Hi Dukel, primär möchte ich mal alle Logs von Windows Servern und Clients zentral einsammeln um sie von einer zentralen Stelle auswerten zu können. Bitte keine "Warum/Achtung Betriebsrat/etc..." Fragen, zumindest nicht, wenn Sie an der Lösung/Frage vorbei führen! Ich habe Mechanismen, mit denen ich Logdaten von AD Controllern (aus dem Eventlog) abziehe, und mich, weil das zahlenmäßig gerade so noch machbar ist, auf die einzelnen Server verbinde (automatisch) und auch dort die Event Logs abhole. Nun habe ich aber auch Vorfälle, die ich scheinbar nur lokal am Client sehen kann (z.B. USB Device wurde angeschlossen, DVD wurde gebrannt, IE Settings wurden verändert...) und auch die würde ich gern auswerten. Also: Optimaler Fall: Alle Logs (AD, Windows Server, Clients), die mich aus sicherheitstechnischen Gründen interessieren, möchte ich gern von möglichst wenigen Systemen, mit möglichst einheitlichen Techniken, zusammen suchen. Und nun zurück zur Frage: Wie kriege ich MS Anwendungen dazu, ins Event Log zu schreiben (z.B. IIS), bzw. welche tun das eh schon automatisch? Die Anwendungen von Interesse sind: - SQLServer, IIS, Exchange, DNS, DHCP, RAS, FTP, File Services, etc... Dann gibt es weitere Events von Interesse (siehe oben, USB, DVD...), die ich an den Clients abgreifen müsste, das aber nicht möchte, bei vielen tausend Clients. Und dann gibt es noch die Frage nach der Auswirkung eines Audit Settings auf GPO Ebene: - Wenn ich z.B. Object Access/Change per GPO setze und verbreite, und ein Client löscht eine Datei, wo landet dann das Event dazu? Im AD-Event Log oder bleibt es auch bei einer GPO basierten Audit Richtline lokal am Client liegen? So, ich hoffe, mit diesen Erläuterungen kommen wir in der Sache etwas weiter. Danke euch, Schizo

Aber denen, die mit demselben Problem kämpfen kann die Suche jetzt meine Antwort liefern ;-) Hoffen wir, dass der user win2k inzwischen migriert hat...

Hi nilsk, Die Anforderung ist, zu verstehen, welche Events eines Domänen mitglieds auf dem DC sichtbar sind und, wie ich (bzw ob ich) die aufgezählten Applikationen in das lokale event log integrieren kann... Das mssql Server per Default ins Event log schreibt und IIS per Default ein log file, ist klar... Hier noch eine konkrete Frage: kann ich das anschließen eines USB sticks oder einer USB Festplatte an einem domänen client (z.b per Audit Policy in den GPOs) im Event log des DCs sichtbar machen? Danke euch, Schizo

Und hier gern auch och die Meinung von einem Security Analysten: viele, in kurzer Zeit fehlgeschlagene anmeldeversuche von unbekannten ip Adressen mit dem user 'administrator' sind aus meiner Sicht sehr bedenklich. Entweder, weil jemand versucht, das Passwort für den Admin user zu raten (Passwort guessing oder brute Force), oder, weil eure sicherheitsrichtline erlaubt, von extern auf diesen Server zuzugreifen (vor allem, wenn der Zielport rdp, cifs oder smb war). Hol dir jemanden, der euch in diesem Vorfall UND bei der Analyse grundsätzlicher sicherheitmängel eures Netzes hilft!!! Das muss nun reichen, sonst wird's fahrlässig ;-) Gruß, Schizo

Hallo stento, Ich denke, es ist der falsche Ansatz, eine sicherheitstechnologie abzulehnen, nur, weil sie alleine nicht vollständig ist. Und zwar aus folgenden gründen: - das wäre das Killer Argument gegen alle sicherheitsjtechnologien, denn keine für sich alleine ist ausreichend - sich nicht mit angemessenem Aufwand um Sicherheit zu kümmern hat ernsthaftere Konsequenzen, als bedarfsgerechte Maßnahmen nach aktuellen Standards und nach bestem wissen und gewissen umzusetzen - dem System ein Netzwerk Interface zu nehmen (wo man doch offensichtlich festgestellt hat, dass man es braucht) ist keine adäquate Sicherheitsvorkehrung, denn das verbleibende Interface stellt nach wie vor ein objektives Risiko dar - 100%igen schutz gibt es nicht, was einen nicht davon freispricht, fahrlässig handeln zu dürfen, indem man es dann gleich ganz sein lässt Du solltest deine anforderungen aufschreiben, die damit verbundenen Risiken erklären und vertretbar aufwändige Maßnahmen empfehlen (und Technologien wie antivirus, lokale Firewall sind Standards, die man heute im geschäftlichen Umfeld von jederman erwarten darf)... HTH, Schizo Wenn du für die Sicherheit verantwortlich bist, ist es deine Pflicht, das Thema anzugehen und zumindest Empfehlungen auszusprechen.

Idee: - 3rd Party Event Log Viewer - Snare als Syslog Forwarder und in den Syslogs mit Linux grep filtern - XML / xPath basierte, benutzer definierte Ansichten (über xPath solltest du Zugriff auf das Type Feld haben) Leider bin ich kein XML Profi, aber als Denkanstoß hilft es vielleicht... Gruß, Schizo

BTW: Eine Firewall bietet gegen Malware oft nur trügerischen, unzureichenden Schutz und reicht alleine nicht aus. Mit ner Firewall sperrst/erlaubst du Ports, vielleicht kennt sie auch Applikationen (FW abhängig). Aber ob über einen erlaubten Port Schadcode verbreitet wird, ist nicht die Kernfunktion einer Firewall. Also: Bei den Sicherheits Maßnahmen musst du über den Firewall Tellerrand hinaus schauen!!! Gruß, Schizo

Hallo Stento, prinzipiell ja. Es hängt natürlich von der Verbreitungs Technologie des Wurms ab. Netzwerk ist es häufig. Aber auch da muss man differenzieren: Verbreitung per Mail Verbreitung per Share Generell gilt: Je mehr "Zugriffspunkte" dein Rechner hat (also auch "Je mehr Netzwerk Anschlüsse"), desto "sichtbarer" ist er und damit steigt auch die Zahl möglicher Angriffs Vektoren. Sog. Multi Homed Systeme (Systeme mit Verbindungen zu mehr als einem Netzwerk) sind schon kritischer zu betrachten, als solche mit einem Netzwerk Interface. Sorge einfach nach bestem Wissen und Gewissen mit angemessenen Sicherheitsmaßnahmen (AV, Lokale FW, ggfs. HIPS), für einen Basis Schutz auf deinem System, oder denke über ein Fileserver Konstrukt nach (hier gilt das mit den Schutz Maßnahmen natürlich auch!) Gruß

Hallo Michel, was du suchst, wird per Default in das Windows Security Event Log geschrieben! Es gibt für Logon Events eine EventID (in der Welt vor Server 2008/Win7 war das die ID 528). Wenn du im Event Viewer für Security Logs nach solchen Event IDs suchst kriegst du alle Anmeldungen am System. Windows unterscheidet dann noch nach verschiedenen Anmeldearten (das wird im Feld "Type" beschrieben). Hier wird z.B. nach unterschieden nach - Remote Logon - Local Logon - Anmelden an Shares - etc... Der Anmelde Typ, mit dem du auch RDP Logons sehen müsstest, ist Typ 10! Also: - Anmelden am System - Über die Verwaltungskonsole den Event Viewer öffnen - Das Security Event Log auswählen - Filter Funktion finden (je nach OS) Achtung: Windows 7 und Windows Server 2008 (ich glaube, Vista auch schon), nutzen andere Event IDs. Die alte (z.B. Windows XP) Event ID + 4096 ergibt die neue. Beispiel: Windows Anmeldung an einem XP System erzeugt ein Security Event Log mit der ID 528 Windows Anmeldung an einem Win7 System erzeugt ein Security Event Log mit der ID 4624 Es gibt auch freie Tools, um Event Logs in Syslog umzusetzen (z.B. Snare) oder sie direkt auf dem System anzusehen. Auf einem zentralen Syslog Server, der alle Windows Logs via Snare/Syslog erhält, könntest du dir dann Auswertungsmechanismen bauen. HTH, Schizo

Hallo Forum, ich bin kein Windows Guru, muss mich aber im Rahmen meines Jobs regelmäßig mit dem Thema Windows Logging auseinander setzten. Deshalb habe ich einige grundlegende Fragen, die ich über Google irgendwie nicht beantwortet kriege. Wäre schön, wenn ihr mir weiter helfen könntet. Das Szenario: - Windows Domäne mit einem DC (ich denke, es kommt nicht auf 2008/2003 an) - Clients verschiedener Ausprägungen (XP, 7...) - Server (z.B. IIS, MSSQL, DNS, RAS, FTP, Mail, Exchange, Sharepoint......) (auch Domänen Members) Die Aufgabe: - Abgreifen aller (Event)Logs (System, Security, Application...) am Domänen Controller Meine Frage: - Wie kann ich sicherstellen/prüfen, welche Event Logs von den Clients und Servern zum Domänen Controller übertragen werden? - Welche der üblichen MS verdächtigen Server-SW-Komponenten loggen in ein zentrales Eventlog, bzw. sind derart konfigurierbar? - Wie kann ich eine MS Server Software Komponente für Logging ins Windows Event Log konfigurieren? Mir ist klar, dass ich per GPO festlegen kann, welche Audit Logs erzeugt werden. Ist dies aber gleich bedeutend mit "sie werden auch zum DC geschickt"? Ich hoffe, irgendwer kann mal in einem ersten Schritt etwas Klarheit hier rein bringen. Vielen Dank, Schizo