1830944

Forschungsarbeit über Ereignis-IDs in Windows

29.11.2013 | 09:18 Uhr |

Windows führt mit dem Ereignisprotokoll ein äußerst wertvolles Tagebuch über alle wichtigen Vorgänge im System. Das kann für die Überprüfung der PC-Sicherheit äußerst nützlich sein.

Der Sicherheitsforscher Russ Anthony hat für das SANS Institut eine englischsprachige Arbeit mit dem Titel verfasst: „Detecting Security Incidents Using Windows Workstation Event Logs“ – also auf Deutsch etwa: So entdeckt man Sicherheitsvorfälle mit dem Ereignisprotokoll von Windows.

Die Arbeit richtet sich an die Admins von Firmennetzwerken. Russ macht darauf aufmerksam, dass die meisten Angriffe auf ein Computernetzwerk heute nicht mehr am Gateway stattfinden. Auch Angriffe direkt auf einen Firmen-Server sind eher selten. Meist setzt ein Angreifer am Einzelplatz-Rechner in einer Firma an. Er sendet etwa Mails mit virenverseuchten Anhängen. Öffnet ein Mitarbeiter einen solchen Anhang, hat der Angreifer schon mal einen Fuß in der Tür, indem er einen PC in der Firma unter seine Kontrolle gebracht hat. Von dort aus kann er nun weiter Teile des Netzwerks erobern.

Russ Empfehlung lautet deshalb: Admins sollten die Ereignisprotokolle jeder einzelnen Workstation einsammeln und verdächtige Ereignis IDs überwachen. Entsprechende Tools nennt Russ ebenfalls. Wer sein Firmennetzwerk auf dies Weises überwachen möchte, findet hier die Arbeit von Russ Anthony imPDF-Format . Information zum SANS-Institut finden Sie hier .

Einen Überblick über interessante Ereignis-IDs finden Sie in der nachfolgenden Bildergalerie. Wichtig dabei ist, dass diese Einträge auch von harmlosen Programmen ausgelöst werden. Sie müssen sich die Meldungen also ganz genau ansehen.In den Beitrag „ So entdecken Sie Hackerangriffe “ liefern wir Tipps für Privatanwender, die die IDs an Ihrem PC auswerten wollen. Darin erklären wir auch, wie Sie die Ereignisanzeige so filtern, dass nur die relevanten ID angezeigt werden.

Übrigens: Diese Liste ist nur eine kleine Sammlung von IDs. Sie finden Sie als öffentliche Tabelle auf dieser Google-Doc-Seite . Sie können die Tabelle um weitere IDs ergänzen. Bitte schreiben Sie zu einer neuen ID, für welche Windows-Version sie gültig ist, in welchem Ereignis-Protokoll (Sicherheit, Anwendung, System) sie auftaucht und warum es sich lohnt diese Einträge zu untersuchen.

Hier geht’s zur Tabelle mit interessanten Ereignis-IDs .

 

0 Kommentare zu diesem Artikel
1830944