migRaven EventReader für Microsoft Security Events 5145 – Wie findet man raus, welcher Account, von welchem Rechner, über welchen Share auf welches Verzeichnis zugreift?

1. Beschreibung

Die Frage nach der Nutzung von Shares ist immer in Migrationen relevant. Wenn man einen Share abschaltet oder auf einen neuen Server migriert, dann sollte man wissen, ob alle Eventualitäten berücksichtigt wurden.

Das Event kann Auskunft geben, ob das der Fall ist.

Hier schafft der EventReader von aikux.com Abhilfe.

Seine wesentlichen Ziele bestehen darin:

  • Die Nutzung von jedem einzelnen Share/Verzeichnis zu ermitteln
  • Die Ansprechpartner/DataOwner der Shares/Verzeichnisse zu identifizieren.
  • Applikationen zu identifizieren, von denen Zugriffe auf den Share erfolgen.
  • Systemaccounts ausfindig zu machen, die auf Daten/Shares zugreifen.
  • Applikationen aufzudecken, die aktuell falsch konfiguriert sind. Evtl. ist ein Useraccount statt eines Service Accounts eingerichtet.

Der EventReader kann ab Windows Server 2008 aufwärts und EMC eingesetzt werden.

Kurzbeschreibung
Auf den unbekannten Shares werden Überwachungsrichtlinien aktiviert, welche Windows Sicherheitsevents mit der ID 5145 generieren.

Diese enthalten u.a. die folgenden Informationen, welche für die oben genannten Ziele relevant sind:
Wer: Welcher Account hat zugegriffen
Wo: Über welchen Computer (Hostname) wurde zugegriffen
Wann: Der Zeitpunkt des Zugriffs
Worauf: Auf welche Datei wurde zugegriffen

Der aikux.com EventReader holt die Events remote aus dem EventViewer des zu untersuchenden Fileservers ab und konsolidiert die Ergebnisse über eine Hash-Tabelle in wenigen Minuten. Dies bedeutet, dass in der Ergebnistabelle jede Kombination nur einmal vorkommt.
Wahlweise können die Dateinamen in die Analyse mit einbezogen werden, was jedoch die Ergebnismenge erhöht.
Benötigt man nur die Accounts und Hostnamen, kann man die Erfassung der Dateinamen wahlweise abschalten.

Voraussetzungen

Der EventReader gibt die von Windows geschriebenen Ereignisse in einer CSV-Datei aus.
Voraussetzung ist allerdings, dass Windows die gewünschten Ereignisse mitschreibt.
Dazu ist es notwendig, mit dem Gruppenrichtlinieneditor einige Systemüberwachungsrichtlinien zu aktivieren.
Zusätzlich muss auf allen zu untersuchenden Freigaben die Überwachung aktiviert werden.
Dann müssen wir Windows etwas Zeit lassen, um ausreichend Events für eine Auswertung zu protokollieren. In der Regel reichen dafür 3-5 Tage aus.

Der EventReader benötigt das .NET Framework Version 4.5.

2. Überwachung einrichten

2.1. Zu überwachendes Objekt festlegen

Zunächst erstellen wir in unserem Active Directory eine OU (hier: TEST-Server) und verschieben den zu überwachenden Server (hier: B-SRV250) dort hinein.

OU mit Server

Hinweis:
Sollte Ihre Server-OU mit weiteren wichtigen GPOs verknüpft sein empfiehlt es sich hier, eine neue Unter-OU zu erstellen und den/die zu überwachenden Fileserver dorthin zu verschieben. Damit ist gewährleistet, dass die Server immer noch die erforderlichen Einstellungen aus den Gruppenrichtlinien erhalten.

2.2. Gruppenrichtlinienobjekt erstellen

Wir starten die Gruppenrichtlinienverwaltung (gpmc.msc) und navigieren zu der zuvor definierten OU. Über das Kontextmenü rufen wir die Funktion „Gruppenrichtlinienobjekt hier erstellen und verknüpfen…“ auf und geben der neuen GPO einen aussagekräftigen Namen, z.B. „TEMPLATE_Fileshare-Auditing“.

GPO erstellen

2.3. Gruppenrichtlinienobjekt bearbeiten

Über das Kontextmenü der zuvor erstellten Gruppenrichtlinie gelangen wir in den Bearbeitungsmodus.

GPO bearbeiten

2.4. Überwachungsrichtlinien

Im Gruppenrichtlinienverwaltungs-Editor müssen wir die folgenden Überwachungseinstellungen vornehmen.

Dazu müssen die Einstellungen „Dateifreigabe überwachen“ und „Detaillierte Dateifreigabe überwachen“ aktiviert werden.
Diese protokollieren Ereignisse mit der Event ID 5145, wenn in einem freigegebenen Ordner auf eine Datei oder einen Ordner zugegriffen wird.

Ort: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien

Objektzugriff                                            Object Access
Detaillierte Dateifreigabe überwachen - Erfolg/Fehler    Audit Detailed File Share – Success/Failure
Dateifreigabe überwachen - Erfolg/Fehler                 Audit File Share – Success/Failure
                  

2.5. Weitere Richtlinien

Protokolldatei-Größe

Da mit den vorgenommenen Einstellungen sich die Anzahl der geschriebenen Ereignisse deutlich erhöht, muss auch die Größe der Protokolldateien vergrößert werden. Es muss hier die Größe der Protokolldatei Sicherheit angepasst werden. Dort werden die gesammelten Ereignisse mit der ID 5145 abgespeichert.

Ort: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Ereignisprotokolldienst > Sicherheit

Maximale Protokolldateigröße (KB) angeben
Maximale Protokollgröße (KB)      (Der Standardwert ist 20 MB)
Specify the maximum log file size (KB) (default value is 20 MB)

Wir empfehlen einen möglichst großen Wert für die Protokolldatei anzugeben. Mind. 10GB, besser 25 GB.
Die Größe ist abhängig davon, wieviel Platz die auf der C-Partition (Standardablageort des Eventviewers ist immer: %SystemRoot%\System32\Winevt\Logs\Security.evtx) des zu untersuchenden Systems haben.

Protokoll-Größe

Wenn die Protokolldatei ihre maximale Größe erreicht hat, sollte der Server natürlich nicht gleich heruntergefahren werden. Um das zu verhindern, muss die folgende Einstellung überprüft werden.

Ort: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können. - Deaktiviert
Audit: Shut down system immediately if unable to log security audits. - Disabled

Es sollte auch sichergestellt werden, dass die Überwachungsrichtlinien bis in die untersten Kategorien durchgesetzt werden.

Ort: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen ..., um Kategorieeinstellungen der 
             Überwachungsrichtlinie außer Kraft zu setzen. - Aktiviert
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. - Enabled

Überwachung

2.6. Aktivierung der Freigabeüberwachung auf dem Fileserver

nachdem die Richtlinie fertig konfiguriert worden ist, muss noch die Überwachung auf den Freigaben des Fileservers aktiviert werden.
Dazu muss in den Eigenschaften des Ordners, auf dem die Freigabe konfiguriert ist, unter System > Erweitert > Überwachung die folgende Konfiguration eingerichtet werden:

Prinzipal:     Jeder
zugriff:       Vollzugriff
Anwenden auf:  Diesen Ordner, Unterordner und Dateien

2.7. Aktivierung der Richtlinien

Nachdem alle Vorbereitungen getroffen worden sind, kann die Richtlinie aktiviert werden.
im Regelfall werden auf jedem Domänencomputer alle 90 Minuten die Richtlinien im Hintergrund aktualisiert.
Ein manueller Ausruf von gpupdate /force über Windows-Kommandozeile forciert die Einstellungen sofort.
Wenn das nicht ausreichen sollte und keine Events mit der ID 5145 aufgezeichnet werden, muss der Server neu gestartet werden.

Dies sollte jedoch im Idealfall in einem Wartungsfenster geschehen oder zumindest vorher den Benutzern angekündigt werden.
Bedenken Sie bei Einsatz eines filebasierten Backups, dass die Änderung an der SACL im Zweifel ein Vollbackup nach sich zieht.

3. EventReader

Der EventReader gibt die von Windows geschriebenen Ereignisse in einer CSV-Datei aus, für die von Ihnen gewünschte Anzahl zurückliegender Tage.
Die ausgewerteten Events mit der ID 5145 gibt es ab Windows Server 2008.

3.1. Die Eingabe

Im EventReader sind folgende Eingaben erforderlich:

  1. der Servername, der ausgelesen werden soll, oder seine IP-Adresse
  2. die Anzahl der zurückliegenden Tage, die wir betrachten wollen
  3. Ausgabemenge: „1“ für eine ausführliche Ausgabe, eine andere Zahl für eine verkürzte Ausgabe

EventReader

3.2. Die Ausgabe

Die Daten werden in eine CSV-Datei ausgegeben und in den Ordner abgelegt, von wo aus der EventReader gestartet worden ist.
Sie enthält 5 Spalten mit

  1. Nutzername
  2. IP-Adresse des Nutzers
  3. Share, auf den zugegriffen wurde
  4. Verzeichnisname
  5. Genauer Verzeichnis- und Dateiname, auf das bzw. auf den zugegriffen wurde

Hinweis:
Bei der verkürzten Ausgabe fehlt die letzte Spalte und die Duplikate werden entfernt.

4. Deaktivieren der Überwachung

Nachdem die Ereignisse vom EventReader zur weiteren Bewertung in die CSV-Datei geschrieben worden sind, kann die zuvor erstellte GPO Deaktiviert werden.
Dazu reicht es aus, über das Kontextmenü der Richtlinie im Gruppenrichtlinieneditor

  • die Verknüpfung auf die OU aufzuheben
  • die GPO zu deaktivieren.

Darüber hinaus muss auf den untersuchten Freigabeordnern die Überwachung wieder deaktiviert werden. Dazu einfach den Eintrag wie im Abschnitt 2.6 wieder entfernen.

Richtlinie deaktivieren

Permanentlink zu diesem Beitrag: https://help.migraven.com/eventreader2/