Hoffentlich halten Sie Ihre Computer auf dem neuesten Stand und Ihr Netzwerk ist sicher. Es ist jedoch ziemlich unvermeidlich, dass Sie irgendwann von böswilligen Aktivitäten betroffen werden - einem Virus, Wurm, Trojaner, Hack-Angriff oder anderen. Wenn dies der Fall ist und Sie vor dem Angriff die richtigen Dinge getan haben, können Sie feststellen, wann und wie der Angriff erfolgreich war.
Wenn Sie jemals die Fernsehsendung "CSI" oder nur über eine andere Polizei- oder legale Fernsehsendung gesehen haben, wissen Sie, dass die Ermittler selbst mit der geringsten Spur forensischer Beweise den Täter eines Verbrechens identifizieren, verfolgen und festnehmen können.
Aber wäre es nicht schön, wenn sie nicht durch Fasern gehen müssten, um die Haare zu finden, die dem Täter tatsächlich gehören, und DNA-Tests durchführen, um den Besitzer zu identifizieren? Was wäre, wenn über jede Person aufgezeichnet wurde, mit wem sie wann in Kontakt kam? Was wäre, wenn aufgezeichnet wurde, was mit dieser Person gemacht wurde?
Wenn dies der Fall wäre, könnten Ermittler wie die von "CSI" nicht zur Verfügung stehen. Die Polizei würde die Leiche finden, die Akte überprüfen, um zu sehen, wer zuletzt mit dem Verstorbenen in Kontakt gekommen war und was getan wurde, und sie hatten bereits die Identität, ohne graben zu müssen. Dies ist, was die Protokollierung in Bezug auf die Bereitstellung forensischer Beweise für böswillige Aktivitäten auf Ihrem Computer oder Netzwerk bietet.
Wenn ein Netzwerkadministrator die Protokollierung nicht aktiviert oder die korrekten Ereignisse nicht protokolliert, kann das Auffinden von forensischen Nachweisen zur Ermittlung des Zeitpunkts und des Datums oder der Methode eines nicht autorisierten Zugriffs oder anderer bösartiger Aktivitäten genauso schwierig sein wie die Suche nach der sprichwörtlichen Nadel in einem Heuhaufen. Oft wird die Hauptursache eines Angriffs nie entdeckt. Gehackte oder infizierte Maschinen werden bereinigt und alle kehren wie gewohnt zurück, ohne wirklich zu wissen, ob die Systeme besser geschützt sind, als wenn sie überhaupt getroffen wurden.
Einige Anwendungen protokollieren standardmäßig Dinge. Webserver wie IIS und Apache protokollieren im Allgemeinen den gesamten eingehenden Datenverkehr. Dies wird hauptsächlich verwendet, um zu sehen, wie viele Personen die Website besucht haben, welche IP-Adresse sie verwendet haben, und um weitere Informationen zu Metriken bezüglich der Website. Bei Würmern wie CodeRed oder Nimda können Sie in den Weblogs jedoch auch angezeigt werden, wenn infizierte Systeme versuchen, auf Ihr System zuzugreifen, da sie über bestimmte Befehle verfügen, die in den Protokollen angezeigt werden, ob sie erfolgreich sind oder nicht.
Einige Systeme verfügen über verschiedene integrierte Überwachungs- und Protokollierungsfunktionen. Sie können auch zusätzliche Software installieren, um verschiedene Aktionen auf dem Computer zu überwachen und zu protokollieren (siehe Werkzeuge im Link-Feld rechts neben diesem Artikel). Auf einem Windows XP Professional-Computer gibt es Optionen zum Überwachen von Kontoanmeldeereignissen, Kontenverwaltung, Zugriff auf Verzeichnisdienste, Anmeldeereignisse, Objektzugriff, Richtlinienänderung, Verwendung von Berechtigungen, Prozessverfolgung und Systemereignissen.
Für jede dieser Optionen können Sie den Erfolg, den Ausfall oder nichts protokollieren. Wenn Sie Windows XP Pro als Beispiel verwenden, hätten Sie keine Aufzeichnungen darüber, wann auf eine Datei oder einen Ordner zuletzt zugegriffen wurde, wenn Sie keine Protokollierung für den Objektzugriff aktiviert haben. Wenn Sie nur die Fehlerprotokollierung aktiviert haben, können Sie feststellen, wann jemand versucht hat, auf die Datei oder den Ordner zuzugreifen, jedoch fehlgeschlagen ist, weil er nicht über die erforderlichen Berechtigungen oder Berechtigungen verfügt. Sie haben jedoch keine Aufzeichnung darüber, wann ein berechtigter Benutzer auf die Datei oder den Ordner zugegriffen hat .
Da ein Hacker möglicherweise einen geknackten Benutzernamen und ein falsches Kennwort verwendet, kann er möglicherweise erfolgreich auf Dateien zugreifen. Wenn Sie sich die Protokolle ansehen und feststellen, dass Bob Smith den Unternehmensabschluss am Sonntag um 3 Uhr morgens gelöscht hat, kann davon ausgegangen werden, dass Bob Smith schläft und dass möglicherweise sein Benutzername und sein Kennwort gefährdet sind. Auf jeden Fall wissen Sie jetzt, was mit der Datei passiert ist und wann und es gibt Ihnen einen Ausgangspunkt, um zu untersuchen, wie es passiert ist.
Sowohl die Fehler- als auch die Erfolgsprotokollierung können nützliche Informationen und Hinweise liefern, aber Sie müssen Ihre Überwachungs- und Protokollierungsaktivitäten mit der Systemleistung in Einklang bringen. Anhand des Beispiels aus dem Human-Record-Book von oben würde es Ermittlern helfen, wenn die Personen ein Protokoll von allen Personen führen würden, mit denen sie in Kontakt gekommen sind, und was während der Interaktion passiert ist, aber es würde die Menschen auf jeden Fall verlangsamen.
Wenn Sie anhalten und aufschreiben müssten, wer wann was für jeden Tag den ganzen Tag hatte, könnte dies Ihre Produktivität erheblich beeinträchtigen. Dasselbe gilt für das Überwachen und Protokollieren der Computeraktivität. Sie können jede mögliche Fehler- und Erfolgsprotokollierungsoption aktivieren, und Sie haben eine sehr detaillierte Aufzeichnung aller Vorgänge auf Ihrem Computer. Sie haben jedoch erhebliche Auswirkungen auf die Leistung, da der Prozessor jedes Mal 100 verschiedene Einträge in den Protokollen aufzeichnet, wenn jemand eine Taste drückt oder mit der Maus klickt.
Sie müssen abwägen, welche Arten von Protokollierung sich auf die Systemleistung auswirken würden und welche Balance für Sie am besten geeignet ist. Sie sollten auch bedenken, dass viele Hacker-Tools und Trojaner-Programme wie Sub7 Dienstprogramme enthalten, mit denen sie Protokolldateien ändern können, um ihre Aktionen zu verbergen und das Eindringen zu verbergen, sodass Sie sich nicht zu 100% auf die Protokolldateien verlassen können.
Sie können einige der Leistungsprobleme und möglicherweise das Verbergen von Hacker-Tools vermeiden, indem Sie beim Einrichten Ihrer Protokollierung bestimmte Aspekte berücksichtigen. Sie müssen abschätzen, wie groß die Protokolldateien werden, und sicherstellen, dass Sie über ausreichend Speicherplatz verfügen.Sie müssen auch eine Richtlinie einrichten, ob alte Protokolle überschrieben oder gelöscht werden sollen oder ob Sie die Protokolle täglich, wöchentlich oder auf andere Weise archivieren möchten, damit Sie auch ältere Daten zur Verfügung haben.
Wenn Sie eine dedizierte Festplatte und / oder einen Festplattencontroller verwenden können, wirkt sich dies weniger auf die Leistung aus, da die Protokolldateien auf die Festplatte geschrieben werden können, ohne sich mit den Anwendungen, die Sie ausführen möchten, um den Zugriff auf die Festplatte zu kämpfen. Wenn Sie die Protokolldateien an einen separaten Computer weiterleiten können - möglicherweise zur Speicherung von Protokolldateien und mit völlig anderen Sicherheitseinstellungen -, können Sie die Möglichkeit eines Eindringlings blockieren, die Protokolldateien zu ändern oder zu löschen.
Eine letzte Anmerkung ist, dass Sie nicht warten sollten, bis es zu spät ist und Ihr System bereits abgestürzt oder gefährdet ist, bevor Sie die Protokolle anzeigen. Es ist am besten, die Protokolle regelmäßig zu überprüfen, um zu wissen, was normal ist, und eine Baseline festzulegen. Auf diese Weise können Sie, wenn Sie auf fehlerhafte Einträge stoßen, diese als solche erkennen und proaktive Maßnahmen ergreifen, um Ihr System zu verhärten, anstatt die forensische Untersuchung nach einer zu späten Zeit durchzuführen.
