Microsoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben:
Das Papier hat folgende Kapitel und einen zusätzlichen Anhang mit Hilfsmitteln:
- Chapter 1: Assess the Situation explains how to conduct a thorough assessment of the situation and prepare for the internal investigation.
Chapter 2: Acquire the Data provides guidance about how to gather digital evidence.- Chapter 3: Analyze the Data examines the standard techniques of evidence analysis.
- Chapter 4: Report the Investigation explains how to write the investigation outcome report.
- Chapter 5: Applied Scenario Example describes a fictional scenario that depicts unauthorized access to confidential information.
Harlan Carvey hat eine ausführlichere Zusammenfassung zu diesem Guide auf seinem Blog veröffentlicht.
Ich finde dieses Dokument grundsätzlich gut, da sich endlich auch ein großer Softwarehersteller mit diesem Thema beschäftigt. Meiner Meinung nach sollte das Dokument aber nur als erster oberflächlicher Einstieg zu betrachten sein. Bei den empfohlenen Werkzeugen hätte ich mir mehr Genauigkeit gewünscht, aber als Einstiegspunkt für Systemadministratoren vor einem Sicherheitsvorfall ist der Guide allemal geeignet.