none
Protokollierung ohne dass ein Admin die beeinflussen kann RRS feed

  • Frage

  • Hallo!

    Wir müssen eine Protokollierung für Admin und User Zugriffe unter Windows Server 2008 umsetzen, die kein Administrator beeinflussen kann. Dazu habe ich diesen BSI-Text gefunden und dann die Frage, wie man es praktisch macht.

    Der BSI-Text hat die Überschrift: „M 2.365 Planung der Systemüberwachung unter Windows Server 2003“

    speziell zu diesem Thema:

    Zitat:(…)Rollentrennung
    Der Speicherort für die Ereignisprotokolle kann gegebenenfalls vom Standard %SystemRoot%\system32\config abweichen, wenn z. B. deren Auswertung nicht von der Administration beeinflusst werden darf. In diesem Ordner befindet sich auch die Registry. Daher ist es nicht sinnvoll, dem Administrator den Zugriff auf diesen Ordner zu entziehen. Seit Windows Server 2003 ist eine Beschränkung der Berechtigungen auf die Protokolle der Ereignisanzeige möglich. Die gewünschten Zugriffsberechtigungen (Access Control List, ACL) werden mittels einer Sicherheitsbeschreibungssprache (Security Descriptor Definition Language, SDDL) im Registry-Wert CustomSD für die separaten Protokolle definiert.
    Alternativ kann eine gewünschte Trennung von Administration und Überwachung mit einem Systemmanagementwerkzeug realisiert werden, auf das der betreffende Administrator keinen Einfluss besitzt.(…)Zitatende

    Kann mir jemand bitte ein Systemmanagementwerkzeug nennen, das wir hier verwenden könnten? Die SDDL-Möglichkeit erscheint uns zu kompliziert. Oder gibt es da eine gute und detaillierte Anleitung?

    Vielen Dank im Voraus!

    Ich freue mich über Rückmeldung und wünsche noch einen schönen Tag.

    Viele Grüße

    Frank

    Tschö Frank

    Mittwoch, 18. Juli 2012 13:19

Antworten

  • Am 18.07.2012 15:19, schrieb moccacino:
    > Die SDDL-Möglichkeit erscheint uns zu kompliziert. Oder gibt es da eine
    > gute und detaillierte Anleitung?
     
    Nein, das ist nicht kompliziert, das ist der ganz normale
    Sicherheitskontext. Das was du in der GUI anklickts, ist die SDDL, die
    du über das SDDI (... Interface) editierst.
     
    Aber der Text vom BSI ist Blödsinn. Solange die Protokolle auf dem
    System liegen, auf dem du Adminrechte hast, solange kannst du den Admin
    nicht aussperren. Das geht nicht.
     
    Das ist ja der Trick am Admin, das er der Admin ist, den man nicht
    aussperren kann.
     
    Einzige Lösung: Ver-/Auslagerung der Protokolle auf ein externes
    Medium/system/Gerät, auf dem der Admin keine Adminrechte hat.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    • Als Antwort markiert moccacino Freitag, 20. Juli 2012 21:30
    Mittwoch, 18. Juli 2012 14:31