https://mcblogs.craalse.de/sku?disp=comments en-US http://backend.userland.com/rss 60 Sat, 25 Feb 2006 19:03:00 +0000 Dave [Visitor] c108@https://mcblogs.craalse.de/ Wenn ich mal Dr. Gartner zitieren darf:<br /> <br /> 62% aller IT Angriffe geschehen aus dem eigenen Netz. Sicher sind die Information für den normalen User uninteressant, aber es ist ja wohl nicht zu leugnen das dort massig Informationen drinnen stehen, die einem potenziellen Angreifer zumindestens einen ganze Menge Reverseengeneering abnehmen. Und genau das ist eben einer der häufigsten Kritikpunkte an jeder Art von Logfiles seitens der Kundschaft: "Bitte lieber Herr Consultant, legen sie doch bitte Rechenschaft darüber, was genau in Ihren Logfiles steht, und was der Benutzer mit den Informationen anfangen kann..."<br /> <br /> So, das wollt ich nur noch mal erwähnt haben, ansonsten bin ich natürlich in allen Punkten der Anklage (wie so oft) voll eurer Meinung ;-)
62% aller IT Angriffe geschehen aus dem eigenen Netz. Sicher sind die Information für den normalen User uninteressant, aber es ist ja wohl nicht zu leugnen das dort massig Informationen drinnen stehen, die einem potenziellen Angreifer zumindestens einen ganze Menge Reverseengeneering abnehmen. Und genau das ist eben einer der häufigsten Kritikpunkte an jeder Art von Logfiles seitens der Kundschaft: "Bitte lieber Herr Consultant, legen sie doch bitte Rechenschaft darüber, was genau in Ihren Logfiles steht, und was der Benutzer mit den Informationen anfangen kann..."

So, das wollt ich nur noch mal erwähnt haben, ansonsten bin ich natürlich in allen Punkten der Anklage (wie so oft) voll eurer Meinung ;-)]]> https://mcblogs.craalse.de/sku/wo_man_logfiles_hinschreiben_sollte#c108 Sat, 25 Feb 2006 15:30:19 +0000 FZOFZOFZOFZOFZOFZOFZO [Visitor] c107@https://mcblogs.craalse.de/ Was mir da eben zufällig aufgefallen ist...<br /> ich hab die Beta2 der WinFX Runtime Components installiert.<br /> Hab ich für irgendwas letztens mal benötigt...<br /> <br /> Auf jedenfall nutzen die wohl das "windows\system32\logfiles\messages" Verzeichnis um Logfiles etc abzulegen.<br /> <br /> Auf das Verzeichnis wurden die NTFS Berechtigungen so angepasst, das die "Authenticated Users" lediglich über die special permission "Create File / Write Data" die Möglichkeit haben in dem Verzeichnis zu schreiben.<br /> <br /> Dort Logfiles abzulegen und die Permissions anzupassen ist somit wohl auch legitim, wenns MS selbst auch macht.<br /> <br /> Wenn man nun aus allen bisherigen Beiträgen zu dem Thema hier etwas rauszieht, wäre doch folgende Lösung denkbar:<br /> <br /> 1. Der Pfad von SKU:<br /> c:\Documents and Settings\All Users\Application Data<br /> \&#949;&#960;&#964;€&#963;\logfiles<br /> <br /> 2. Die special permissions auf den Logfiles Ordner ungefähr so anpassen wie das Beispiel von WinFX, somit hat der User wohl das recht Files anzulegen und da was reinzuschreiben, aber mehr darf er nicht... <br /> <br /> 3. Somit wäre auch die Anforderung von Dave abgedeckt auf Terminal Server, denn die User dürfen in dem Verzeichnis ja nichtmal das selbst geschriebene Logfile zum lesen öffnen bzw. das Verzeichnis Browsen etc. :-)<br /> Was ja auch nicht nötig ist, weil die Logfiles für keinen Enduser interessant sind, sondern lediglich für den Admin, der wiederum entsprechnde Rechte auf das Verzeichnis bekommt...<br /> ich hab die Beta2 der WinFX Runtime Components installiert.
Hab ich für irgendwas letztens mal benötigt...

Auf jedenfall nutzen die wohl das "windows\system32\logfiles\messages" Verzeichnis um Logfiles etc abzulegen.

Auf das Verzeichnis wurden die NTFS Berechtigungen so angepasst, das die "Authenticated Users" lediglich über die special permission "Create File / Write Data" die Möglichkeit haben in dem Verzeichnis zu schreiben.

Dort Logfiles abzulegen und die Permissions anzupassen ist somit wohl auch legitim, wenns MS selbst auch macht.

Wenn man nun aus allen bisherigen Beiträgen zu dem Thema hier etwas rauszieht, wäre doch folgende Lösung denkbar:

1. Der Pfad von SKU:
c:\Documents and Settings\All Users\Application Data
\επτ€σ\logfiles

2. Die special permissions auf den Logfiles Ordner ungefähr so anpassen wie das Beispiel von WinFX, somit hat der User wohl das recht Files anzulegen und da was reinzuschreiben, aber mehr darf er nicht...

3. Somit wäre auch die Anforderung von Dave abgedeckt auf Terminal Server, denn die User dürfen in dem Verzeichnis ja nichtmal das selbst geschriebene Logfile zum lesen öffnen bzw. das Verzeichnis Browsen etc. :-)
Was ja auch nicht nötig ist, weil die Logfiles für keinen Enduser interessant sind, sondern lediglich für den Admin, der wiederum entsprechnde Rechte auf das Verzeichnis bekommt...
]]> https://mcblogs.craalse.de/sku/wo_man_logfiles_hinschreiben_sollte#c107 Fri, 24 Feb 2006 20:43:43 +0000 Stefan [Visitor] c102@https://mcblogs.craalse.de/ Dave,<br /> <br /> Das mit der Erweiterung des Verzeichnisses mit %username% Pfad finde ich persoenlich in einem ersten Schritt etwas zu gewagt, weil dann die Logfiles nimmer an einem Ort sind. <br /> <br /> Und ja, das ist ein moeglicher Ort fuer so eine Diskussion, weil das Thema leider konsequent totgeschwiegen wird, keiner sich was zu aendern traut und es mir fast schon peinlich ist, wo wir unsere Logfiles sonst so hinschreiben. Das ist soooo oldfashioned und achtziger-Jahre-maessig, dass es mir einfach graust. Das ist einfach so erdenschlecht.
Das mit der Erweiterung des Verzeichnisses mit %username% Pfad finde ich persoenlich in einem ersten Schritt etwas zu gewagt, weil dann die Logfiles nimmer an einem Ort sind.

Und ja, das ist ein moeglicher Ort fuer so eine Diskussion, weil das Thema leider konsequent totgeschwiegen wird, keiner sich was zu aendern traut und es mir fast schon peinlich ist, wo wir unsere Logfiles sonst so hinschreiben. Das ist soooo oldfashioned und achtziger-Jahre-maessig, dass es mir einfach graust. Das ist einfach so erdenschlecht.]]> https://mcblogs.craalse.de/sku/wo_man_logfiles_hinschreiben_sollte#c102 Mon, 20 Feb 2006 07:22:04 +0000 Dave [Visitor] c99@https://mcblogs.craalse.de/ Mmh, das klingt ja erst mal gar nicht schlecht, jetzt sollte man nur noch darüber nachdenken, wie man die Bneutzerlogfiles unterschiedlicher Benutzer über die Security voneinander trennt (z.B. Terminal Services). Also sollte der oben gennante Pfad bei der Erstanmeldung eines Users auch mit einem %username% Pfad erweitert werden, in dem Benutzerspezifische LogFiles angelegt werden und nur für den angemeldeten User und Admin erreichbar sind. Aber meint ihr echt, das hier ist nun das richtige Forum für diese Duskussion ?!? https://mcblogs.craalse.de/sku/wo_man_logfiles_hinschreiben_sollte#c99 Wed, 15 Feb 2006 22:33:56 +0000 FZOFZOFZOFZOFZOFZOFZO [Visitor] c92@https://mcblogs.craalse.de/ Was für ein Zufall... genau mit der Frage hab ich mich heut auch schon beschäftigt :-)<br /> <br /> Hier zwei interessante Links von Microsoft zu dem Thema incl. einer Möglichkeit wie man solche Zugriffe von Applikationen entsprechend "redirecten" kann:<br /> <br /> http://download.microsoft.com/download/a/4/e/a4e4532e-98a8-48f2-a595-c5d90e78e862/Least_Privilege_to_User_Accounts_on_Windows_XP.doc<br /> <br /> http://www.microsoft.com/germany/msdn/library/security/DasApplicationCompatibilityToolkit.mspx
Hier zwei interessante Links von Microsoft zu dem Thema incl. einer Möglichkeit wie man solche Zugriffe von Applikationen entsprechend "redirecten" kann:

http://download.microsoft.com/download/a/4/e/a4e4532e-98a8-48f2-a595-c5d90e78e862/Least_Privilege_to_User_Accounts_on_Windows_XP.doc

http://www.microsoft.com/germany/msdn/library/security/DasApplicationCompatibilityToolkit.mspx]]> https://mcblogs.craalse.de/sku/wo_man_logfiles_hinschreiben_sollte#c92