===== Sicherheitsüberlegungen ===== Die Frage, inwieweit die Audit-Trails gegen eine gezielte Manipulation gesichert sind, ist sehr komplex. * Die Datei ist durch Hashes für jede einzelne Zeile dagegen gesichert, das Unbefugte nachträglich Zeilen entfernen oder hinzufügen können. Auch wurde dafür gesorgt, dass jedes Schreiben mit einem Text- oder auch Binäreditor die Integrität der Datei sofort zerstört. * Was aktuell nicht sichergestellt werden kann, ist, dass die Datei mit den Audit-Trails gesichert, die Manipulation durchgeführt und anschliessend wieder die Sicherung aktiviert wird. Das ist zwar mit entsprechendem Aufwand zu erkennen, korrespondiert aber mit dem nachfolgenden Fakt. * Da das Schreiben von Audit-Trails über einen Registry-Eintrag aktiviert wird, lässt es sich genauso auch wieder deaktivieren. Deshalb ist Benutzern mit Zugriffsrechten auf die Registry möglich, das Schreiben der Audit-Trails abzuschalten, Änderungen durchzuführen, und dann die Audit-Trails wieder einzuschalten. Damit gäbe es eine Lücke in den Trails, die aktuell nicht bemerkt wird. Auch das ist zwar mit ent(-)sprech(-)endem Aufwand zu erkennen, korrespondiert aber mit dem nachfolgenden Fakt. * Da die Audit-Trails durch den Server geschrieben werden, sind aktuell Manipulationen durch Austausch von XML-Dateien im Verzeichnis //p2fRoot// möglich. Das zu unterbinden, erfordert Prüfsummen über das gesamte Verzeichnis //p2fRoot// (bei manchen Kunden Tausende von Dateien), die zudem praktisch vor jeder Aus(-)lieferung einer Datei geprüft werden müssten. Die Signatur in den %%XML%%-Dateien selbst stellt ja nur die Integrität der jeweiligen Datei sicher. Manipulationen auf einem Testsystem, dessen Dateien dann in ein Produktivsystem eingeschleust werden, sind so jedenfalls denkbar. \\ Das alles führt zu folgender Aussage: Die Audit-Trails können von den registrierten (p2f)-Administratoren und (p2f)-Benutzern nicht manipuliert werden. Windows-Benutzer mit **Administratorrechten** auf das zugrunde(-)liegende Windows-System **können jedoch mit entsprechendem Aufwand durchaus manipulieren**. Es ist daher von besonderer Bedeutung, die Zugriffsrechte auf die Registry und auf die an (p2f) beteiligten Verzeichnisse so restriktiv wie irgendmöglich zu setzen. Damit bestimmt sich letztlich der Kreis derjenigen Personen, die potentiell manipulieren könnten. Ein Schutz gegen Manipulationen von Windows-Administratoren ist nur dann möglich, wenn richtige Zertifikate eingesetzt werden, und diese über eine externe Vertrauensstelle (Trust-Center) validiert werden können. In der Regel ist aber gerade bei kritischen (p2f)-Installationen ein Zugriff ins Internet nicht gewünscht. \\ \\ \\ Die Datei mit den Audit-Trails ist genauso von Hardware-Fehlern betroffen, wie alle anderen Dateien auch. Es ist somit immer eine gute Idee, sie ab und an sichern zu wollen. Das kann aber nicht einfach dadurch realisiert werden, diese Datei irgenwo im Verzeichnis //p2fRoot// unterzu(-)bringen, um sie so vom (p2f)-Server automatisch mitsichern zu lassen. Der (p2f)-Server friert während der Sicherung alle anstehenden Änderungen ein, um eine in sich konsistente Kopie zu gewährleisten - die Audit-Trails lassen sich aber nicht einfrieren, weil sie auch von Skripten aus geschrieben werden können. Das könnte zu einer inkonsisten Sicherung führen. Deshalb gibt es ein weiteres Programm [[https://download.spe-systemhaus.de/LogItCopy.exe|LogItCopy.exe]], das das Schreiben der Audit-Trails kurz einfriert, eine Kopie der Datei mit den Audit-Trails erzeugt, und dann das Schreiben wieder freigibt. Das Programm benötigt als ersten Parameter den absoluten Pfad auf die Datei mit den Audit-Trails und als zweiten Parameter den absoluten Pfad auf die zu erstellende Kopie. Das Programm muss natürlich auf dem Rechner mit (p2f) ausgeführt werden. Je nach Sicherheitsbedürfnis kann es über die Aufgabenverwaltung des Windows-Systems in regelmässigen Abständen aufgerufen werden.