Freigeben über

Überwachung in Dateisystemen

  • Artikel

Einer der Grundsätze eines guten Sicherheitsdesigns besteht darin, zuzulassen, dass es kein sicheres System gibt. Entwickler wissen, dass bestimmte Personen versuchen, jegliche Sicherheit zu umgehen. Diese Umgehung könnte z. B. durch schlechte Akteure, die das Sicherheitssubsystem probieren, aktiv durchgeführt werden, um Löcher zu finden und auszunutzen. Oder es könnte versehentlich sein, z. B. versehentliches Überschreiben oder Löschen kritischer Daten. Unabhängig von der Ursache ist es zwingend erforderlich, ein System zu erstellen, das solche Verstöße erkennen kann.

Das Überwachungssystem in Windows bietet einen Mechanismus zum Nachverfolgen bestimmter Sicherheitsereignisse, sodass das Protokoll zu einem späteren Zeitpunkt analysiert werden kann, um nach der Mortemanalyse eines beschädigten oder kompromittierten Systems zu analysieren. Dieser Überwachungsmechanismus umfasst intime Weise das Dateisystem, da das Dateisystem für die Aufrechterhaltung des permanenten Speichers von Systemdaten verantwortlich ist. Bei vielen Systemen sind die Sicherheitsanforderungen niedriger, und in diesen Fällen ist die Überwachung deaktiviert. Dateisysteme müssen so implementiert werden, dass sie die Bedenken beider Umgebungen berücksichtigen können.

Zu den wichtigsten Routinen für die Überwachung gehören:

  • SeAuditingFileEvents, das bestimmt, ob die Dateiüberwachung auf dem System aktiviert ist. Diese globale Richtlinienüberprüfung bestimmt, ob eine vollständige Überwachung durchgeführt werden soll. Es wurde eingeführt, um die Sicherheitssystemvorgänge zu optimieren.

  • SeAuditingFileOrGlobalEvents, das bestimmt, ob die Datei- oder globale Überwachung auf dem System aktiviert ist. Diese globale Richtlinienüberprüfung bestimmt, ob eine vollständige Überwachungsüberprüfung für Dateiereignisse oder globale Ereignisse durchgeführt werden soll. Es wurde eingeführt, um die Sicherheitssystemvorgänge zu optimieren.

  • SeOpenObjectAuditAlarm, das die primären Überwachungsvorgänge im Windows-System durchführt. Es überwacht einen Versuch, ein Objekt zu öffnen. Es wird nicht überwacht, ob der Zugriff auf das Objekt erfolgreich war oder nicht erfolgreich war.

Es ist keine Überwachung erforderlich. Beispielsweise implementieren die Beispieldateisysteme FastFAT und CDFS keine Überwachung. Aus Sicherheitsperspektive ist die Überwachung jedoch wichtig, da Administratoren das Sicherheitsverhalten des Systems überwachen können.