Zum Inhalt springen Zur Navigation springen
Windows Eventlogs: Welche Ereignisse sie verraten

Windows Eventlogs: Welche Ereignisse sie verraten

Eventlogs (dt. Ereignisprotokolle) sind forensisch gesehen eine wertvolle Quelle für Informationen darüber, was auf dem gesamten System vor sich geht. Wie eine Art zentrale Sammelstelle, werden verschiedenste Ereignisse in mehreren Protokollen unter spezifischen Nummern (Event-IDs) dokumentiert. Dies macht es möglich konkrete Ereignisse wie Anmeldungen, Fernzugriffe oder gestartete Dienste auszulesen, welche sonst aus mehreren Artefakten mühevoll rekonstruiert werden müssen. Somit können Hinweise aus anderen Artefakten ergänzt oder bestätigt werden.

Unterschiedliche Eventlogs unter Windows

Bis zu Windows Vista sind die Eventlogs als EVT-Dateien unter dem Pfad %System%\system32\config zu finden. Ab Windows Vista wurden sie zu EVTX-Dateien im XML Event Log Format. Diese befinden sich nun unter dem Pfad %SystemRoot%\system32\winevt\logs.

Beide Formate, .evt und .evtx, können mit bestimmten Programmen, sogenannten Viewern, in eine menschenlesbare Form gebracht werden. Die Variablen Daten aus den Eventrecords werden dabei mit vordefinierten Log-Templates (Vorlagen) verknüpft. Fehlen diese Vorlagen, ist die Anzeige der einzelnen Ereignisse meist fehlerhaft oder gar nicht lesbar.

Beachtlich ist die Menge an Log-Dateien, welche sich über die Zeit mit den verschiedenen Betriebssystem-Versionen angesammelt haben. Waren es bei Windows 7 noch etwas mehr als 60 Dateien, so sind es bei Windows 10 schon über 250. Darunter zählen selbstverständlich auch einige, für die forensische Untersuchung interessante Dateien:

  • Security.evtx
  • System.evtx
  • Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
  • Microsoft-Windows-PowerShell%4Operational,evtx
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

Unter anderem lässt sich feststellen, ob ein Computer zu einer bestimmten Zeit aktiv war oder nicht. Des Weiteren kann nachvollzogen werden, welche Benutzerkonten in welchen Zeiträumen (erfolgreiche) Anmeldeversuche vorgenommen haben. Sogar Hinweise auf aktivierte oder deaktivierte Dienste können durch Eventlogs identifiziert werden.

Security.evtx

Durch das Security.evtx können Konten, deren Anmeldeversuche und viele weitere detaillierte Informationen ermittelt werden. So steht z.B. die Event-ID 4624 für eine erfolgreiche Anmeldung und die Event-ID 4625 für eine fehlgeschlagene Anmeldung. Darüber hinaus kann sogar die Art der Kontoanmeldung identifiziert werden. So können unter anderem Fernzugriffe nachgewiesen und von direkten Zugriffen via Konsole unterschieden werden. Wichtig kann aber auch die Event-ID 4720 sein, denn dieses Ereignis steht für einen neu angelegten Benutzer. Angreifer nutzen diesen Weg, um sich Persistenz zu verschaffen.

Durch diese Informationen ist es den IT-Forensikern möglich, sich einen Überblick über verschiedene Benutzerkonten zu verschaffen, welche in einem relevanten Zeitraum auf dem zu untersuchenden System angemeldet waren. Das kann vor allem für die Eingrenzung der Suche wichtig sein. Ebenfalls kann es Hinweise auf unbekannte Konten oder auffällig viele Fehlversuche geben. Diese Hinweise können dann mit weiteren Artefakten verknüpft werden, um so eine vollständige Rekonstruktion zu ermöglichen.

System.evtx

Viele verschiedene schadhafte Programme nutzen bestimmte Dienste, welche heruntergeladen und zum Teil schon beim Booten des Systems mitgestartet werden. Des Weiteren können (u.a. durch Injection-Angriffe) auch Dienste zum Absturz gebracht werden. Genau diese Art von Ereignissen können durch das System.evtx identifiziert werden. So zeigt die Event-ID 4697 installierte Systeme und die Event-ID 7036 den Start oder Stopp eines Service.

Dabei ist nicht nur auf gestartete Dienste zu achten, auch die Beendigung eines Antiviren-Programms oder anderer Dienste können Hinweise auf einen Angriff sein. Es bedarf dann einer Abwägung durch die IT-Forensiker, wie die gefundenen Dienste und deren Eigenschaften zu deuten sind.

Die Rolle der Eventlogs in der präventiven Forensik

Das primäre Ziel von Logdateien ist es, Informationen zur Fehlerdiagnose einzelner Anwendungen und Dienste zu sammeln. Um diese dann auszuwerten, muss aber bekannt sein, wo und ob überhaupt Log-Dateien geschrieben werden. Denn es werden nur Ereignisse gemäß der aufgestellten Richtlinien aufgezeichnet. Diese können separat für jedes Objekt festgelegt werden.

Darauf konzentriert sich auch ein Teil der präventiven Forensik. Um im Notfall eine möglichst genaue Analyse und Rekonstruktion durchführen zu können, bedarf es an genügend Daten, die man analysieren kann. So wird präventiv empfohlen, die Einstellungen zu Eventlogs anzupassen und diese Beispielsweise zu erweitern, sodass auch andere, weitere Bereiche, detaillierter protokolliert werden. Ebenfalls eine Möglichkeit wird durch das Erweitern der Speicherkapazitäten der Eventlogs geboten. So werden auch weiter zurückliegende Ereignisse gespeichert anstatt überschrieben und stehen gegebenenfalls zur Analyse bereit.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.