Dario Ruberto
Bachelor Thesis, Hochschule Wismar, Dezember 2023
Autor: Dario Ruberto
Titel: Windows Server User Access Logging (UAL) als forensisches Artefakt – Möglichkeiten und Grenzen
Abstrakt
Diese Arbeit dient als Ausgangspunkt zur Untersuchung der Eignung des von Microsoft bereitgestellten User Access Logging (UAL) als IT-forensisches Artefakt, insbesondere im Hinblick auf die Robustheit und den damit verbundenen Informationsgehalt. Ziel ist es die Grenzen und Möglichkeiten zu beleuchten und somit einen Aufklärungsbeitrag in der IT-Forensik und IT-Sicherheit zu liefern. IT-Forensische Untersuchungen variieren stark in ihrer Komplexität, mit steigender Komplexität eröffnet sich der Bedarf für neue Artefakt Quellen welche während der Untersuchung herangezogen werden können, um so die Untersuchung und Rekonstruktion des Tathergangs, über die Beweissicherung bis hin zur Aufklärung eingesetzt werden können. UAL protokolliert unter anderem benutzerspezifische Informationen, Zeitstempel, Details zur Software und gerätespezifische Informationen, somit stellt die UAL eine potenzielle Artefakt Quelle für Untersuchungen dar. In dieser Arbeit wird die technische Grundlage zur UAL erörtert sowie die Methoden zur Gewinnung und Auswertung der potenziellen Artefakte dargelegt. Verschiedenste Testszenarien wurden in einer kontrollierten Testumgebung durchgeführt, um UAL-Artefakte zu generieren und die UAL-Artefakte im IT- Forensischen Kontext zu untersuchen und auszuwerten. Die UAL-Artefakt Untersuchung und Auswertung in dieser Arbeit, belegt dessen Robustheit als potenzielles IT-Forensisches Artefakt das Abhängig der Fall- Komplexität als Artefakt in Betracht gezogen werden sollte. User Access Logging kann unabhängig der gespeicherten Artefakte keine vollständige Untersuchung ersetzen, dennoch Wissenslücken während einer Untersuchung schließen oder bestehende Annahmen bestärken.
Abstract
This work serves as a starting point for examining the suitability of the User Access Logging (UAL) provided by Microsoft as an IT forensic artifact, particularly with regard to its robustness and the associated information content. The aim is to shed light on the limits and possibilities and thus provide an educational contribution to IT forensics and IT security. IT forensic investigations vary greatly in their complexity, with increasing complexity there is a need for new artifact sources that can be used during the investigation, so that the investigation and reconstruction of the crime, through the preservation of evidence and even the investigation can be used. UAL logs, among other things, user-specific information, timestamps, software details and device-specific information, making UAL a potential artifact source for investigations. This work discusses the technical basis for UAL and presents the methods for obtaining and evaluating potential artifacts. A wide variety of test scenarios were carried out in a controlled test environment to generate UAL artifacts and to examine and evaluate the UAL artifacts in an IT forensic context. The UAL artifact investigation and evaluation demonstrates its robustness as a potential IT forensic artifact that should be considered as an artifact depending on the case complexity. Regardless of the artifacts stored, user access logging cannot replace a complete investigation, but it can still close knowledge gaps during an investigation or reinforce existing assumptions.