14
Auslesen ob Daten auf einen USB Stick kopiert wurden
Hallo,
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
Gruß, Herry
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
Gruß, Herry
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 555484
Url: https://administrator.de/contentid/555484
Printed on: April 19, 2024 at 22:04 o'clock
14 Comments
Latest comment
Zitat von @Akcent:
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
Ja, schau auf dem Stick nach. Oder im Eventlog, das Du hoffentlich vorher(!) entsprechend eingericht hast, um sowas zu protokollieren.
Das Beste ist natürlich, einfach USB-Sticks generell zu sperren.
lks
PS: Auf die Schnelle:
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
Moin,
ja klar. $dateimanager öffnen und nachgucken. Alternativ
Oder was meinst Du?
Liebe Grüße
Erik
ja klar. $dateimanager öffnen und nachgucken. Alternativ
Command-Shell Windows
dir LW:\ /s
Powershell
get-childitem -path LW: -recurse
bash
ls /mountpoint -lROder was meinst Du?
Liebe Grüße
Erik
Moin,
Aber Vorsicht! Ich hatte mal zwei Mädels im Kurs (hätten aber auch Jungs sein können), die die Aufgabe, USB-Sticks in der gesamten Domain zu sperren, ein wenig zu ernst genommen haben. Plötzlich riefen sie "Eeeeeeeeeeeeeeeeeeeeeeeeeeeeerik!!! Unsere Maus und Tastatur gehen nicht mehr!!!" Tja, gleich zwei Dinge gelernt: 1. Genau lesen, wenn man GPOs erstellt. 2. Never touch the default domain policy. It also affects the DCs.
Schönes Wochenende
Aber Vorsicht! Ich hatte mal zwei Mädels im Kurs (hätten aber auch Jungs sein können), die die Aufgabe, USB-Sticks in der gesamten Domain zu sperren, ein wenig zu ernst genommen haben. Plötzlich riefen sie "Eeeeeeeeeeeeeeeeeeeeeeeeeeeeerik!!! Unsere Maus und Tastatur gehen nicht mehr!!!" Tja, gleich zwei Dinge gelernt: 1. Genau lesen, wenn man GPOs erstellt. 2. Never touch the default domain policy. It also affects the DCs.
Schönes Wochenende
Zitat von @Lochkartenstanzer:
Ja, schau auf dem Stick nach. Oder im Eventlog, das Du hoffentlich vorher(!) entsprechend eingericht hast, um sowas zu protokollieren.
Das Beste ist natürlich, einfach USB-Sticks generell zu sperren.
lks
PS: Auf die Schnelle:
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten. Da ist aber noch nichts zur Überwachung eingerichtet worden.Zitat von @Akcent:
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?
Ja, schau auf dem Stick nach. Oder im Eventlog, das Du hoffentlich vorher(!) entsprechend eingericht hast, um sowas zu protokollieren.
Das Beste ist natürlich, einfach USB-Sticks generell zu sperren.
lks
PS: Auf die Schnelle:
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
Zitat von @Akcent:
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten.
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten.
Moin,
Da hat er ein Problem.
lks
Das nennt man dann wohl "Kind ist in den Brunnen gefallen". Da wirst du im Normalfall nichts mehr drüber finden. [ironiemodus] Dann bleibt dir wohl nur dich als Polizist zu verkleiden mit Durchsuchungsbeschluss den Stick in Gewahrsam nehmen und auswerten 
. [/ironiemodus]
Achtung heute ist Freitag!!
. [/ironiemodus]Achtung heute ist Freitag!!
Moin,
Im Nachhinein kann er das nicht mehr feststellen. Er kann nur jetzt die Überwachung einrichten (lassen) und hoffen, dass der MA das wieder tut. Sollte es sich um wertvolle Daten handeln, dann sollte Dein Freund gleich eine Firma in Boot holen, die Ahnung von Forensik hat. Der gerichtsfeste Nachweis scheitert gerne daran, dass die Logs nicht so gesichert wurden, dass sie forensisch verwertbar sind. Dann ist auch Essig. Im Zweifel gewinnt man dann nicht einmal den Arbeitsgerichtsprozess.
Liebe Grüße
Erik
Zitat von @Akcent:
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten. Da ist aber noch nichts zur Überwachung eingerichtet worden.
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten. Da ist aber noch nichts zur Überwachung eingerichtet worden.
Im Nachhinein kann er das nicht mehr feststellen. Er kann nur jetzt die Überwachung einrichten (lassen) und hoffen, dass der MA das wieder tut. Sollte es sich um wertvolle Daten handeln, dann sollte Dein Freund gleich eine Firma in Boot holen, die Ahnung von Forensik hat. Der gerichtsfeste Nachweis scheitert gerne daran, dass die Logs nicht so gesichert wurden, dass sie forensisch verwertbar sind. Dann ist auch Essig. Im Zweifel gewinnt man dann nicht einmal den Arbeitsgerichtsprozess.
Liebe Grüße
Erik
Windows 8 und Windows 10 können Wechselmedien überwachen - wer's nicht zuvor eingerichtet hat, hat davon natürlich wenig.
Für die Zukunft kann sich dein Kumpel also überlegen, wie er USB-Sticks behandeln will.
Sehr effektiv ist es, diese nur noch an Domänengeräten nutzbar zu machen, indem man sie mit Bitlocker verschlüsselt und als Schlüssel die Windowsidentität verwendet. Auf Nicht-Domänengeräten gehen die Dinger dann gar nicht auf.
Für die Zukunft kann sich dein Kumpel also überlegen, wie er USB-Sticks behandeln will.
Sehr effektiv ist es, diese nur noch an Domänengeräten nutzbar zu machen, indem man sie mit Bitlocker verschlüsselt und als Schlüssel die Windowsidentität verwendet. Auf Nicht-Domänengeräten gehen die Dinger dann gar nicht auf.
Oder im Eventlog,
Wo ist denn bei Linux, Smartphones oder Apple Mac das "Eventlog" ??Der TO hat ja nirgendwo erwähnt das er den Stick auschliesslich nur in einer Winblows Umgebung nutzt ?!
Man könnte zumindest nachweisen ob USB Sticks eingesteckt wurden und welche Seriennummer sie hatten.
Zitat von @aqui:
Der TO hat ja nirgendwo erwähnt das er den Stick auschliesslich nur in einer Winblows Umgebung nutzt ?!
Oder im Eventlog,
Wo ist denn bei Linux, Smartphones oder Apple Mac das "Eventlog" ??Der TO hat ja nirgendwo erwähnt das er den Stick auschliesslich nur in einer Winblows Umgebung nutzt ?!
Wenn er was anderes nutzen würde hätte er vermutlich nicht oder anders gefragt.
lks
Stimmt auch wieder !
Zitat von @Lochkartenstanzer:
Wenn er was anderes nutzen würde hätte er vermutlich nicht oder anders gefragt.
Wenn er was anderes nutzen würde hätte er vermutlich nicht oder anders gefragt.
Naja, Apple könnte schon sein.
