akcent
Goto Top

Auslesen ob Daten auf einen USB Stick kopiert wurden

Hallo,

gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?

Gruß, Herry

Content-ID: 555484

Url: https://administrator.de/forum/auslesen-ob-daten-auf-einen-usb-stick-kopiert-wurden-555484.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 06.03.2020 aktualisiert um 15:52:33 Uhr
Goto Top
Zitat von @Akcent:

gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?

Ja, schau auf dem Stick nach. Oder im Eventlog, das Du hoffentlich vorher(!) entsprechend eingericht hast, um sowas zu protokollieren.

Das Beste ist natürlich, einfach USB-Sticks generell zu sperren. face-smile

lks

PS: Auf die Schnelle:

https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
erikro
erikro 06.03.2020 um 15:49:33 Uhr
Goto Top
Moin,

ja klar. $dateimanager öffnen und nachgucken. Alternativ

Command-Shell Windows
dir LW:\ /s
Powershell
get-childitem -path LW: -recurse
bash
ls /mountpoint -lR

Oder was meinst Du?

Liebe Grüße

Erik
erikro
erikro 06.03.2020 um 15:56:43 Uhr
Goto Top
Moin,

Zitat von @Lochkartenstanzer:
Das Beste ist natürlich, einfach USB-Sticks generell zu sperren. face-smile

Aber Vorsicht! Ich hatte mal zwei Mädels im Kurs (hätten aber auch Jungs sein können), die die Aufgabe, USB-Sticks in der gesamten Domain zu sperren, ein wenig zu ernst genommen haben. Plötzlich riefen sie "Eeeeeeeeeeeeeeeeeeeeeeeeeeeeerik!!! Unsere Maus und Tastatur gehen nicht mehr!!!" Tja, gleich zwei Dinge gelernt: 1. Genau lesen, wenn man GPOs erstellt. 2. Never touch the default domain policy. It also affects the DCs. face-wink

Schönes Wochenende
Akcent
Akcent 06.03.2020 um 15:57:19 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Akcent:

gibt es eine Möglichkeit auszulesen, ob und welche Daten auf einen USB-Stick kopiert wurden?

Ja, schau auf dem Stick nach. Oder im Eventlog, das Du hoffentlich vorher(!) entsprechend eingericht hast, um sowas zu protokollieren.

Das Beste ist natürlich, einfach USB-Sticks generell zu sperren. face-smile

lks

PS: Auf die Schnelle:

https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
https://www.tech-faq.net/zugriff-auf-usb-sticks-sperren/
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten. Da ist aber noch nichts zur Überwachung eingerichtet worden.
Lochkartenstanzer
Lochkartenstanzer 06.03.2020 um 16:01:03 Uhr
Goto Top
Zitat von @Akcent:

Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten.

Moin,

Da hat er ein Problem. face-smile

lks
143127
143127 06.03.2020 aktualisiert um 16:13:46 Uhr
Goto Top
Zitat von @Akcent:
Da ist aber noch nichts zur Überwachung eingerichtet worden.
Das nennt man dann wohl "Kind ist in den Brunnen gefallen". Da wirst du im Normalfall nichts mehr drüber finden. [ironiemodus] Dann bleibt dir wohl nur dich als Polizist zu verkleiden mit Durchsuchungsbeschluss den Stick in Gewahrsam nehmen und auswerten face-big-smile. [/ironiemodus]

Achtung heute ist Freitag!!
erikro
erikro 06.03.2020 um 16:06:37 Uhr
Goto Top
Moin,

Zitat von @Akcent:
Ein Freund hat mich angerufen. Er hat den Verdacht, dass ein MA Daten auf einem USB Stick kopiert und möchte das bestätigt haben und wenn, welche Daten. Da ist aber noch nichts zur Überwachung eingerichtet worden.

Im Nachhinein kann er das nicht mehr feststellen. Er kann nur jetzt die Überwachung einrichten (lassen) und hoffen, dass der MA das wieder tut. Sollte es sich um wertvolle Daten handeln, dann sollte Dein Freund gleich eine Firma in Boot holen, die Ahnung von Forensik hat. Der gerichtsfeste Nachweis scheitert gerne daran, dass die Logs nicht so gesichert wurden, dass sie forensisch verwertbar sind. Dann ist auch Essig. Im Zweifel gewinnt man dann nicht einmal den Arbeitsgerichtsprozess.

Liebe Grüße

Erik
DerWoWusste
DerWoWusste 06.03.2020 um 16:17:56 Uhr
Goto Top
Windows 8 und Windows 10 können Wechselmedien überwachen - wer's nicht zuvor eingerichtet hat, hat davon natürlich wenig.
Für die Zukunft kann sich dein Kumpel also überlegen, wie er USB-Sticks behandeln will.

Sehr effektiv ist es, diese nur noch an Domänengeräten nutzbar zu machen, indem man sie mit Bitlocker verschlüsselt und als Schlüssel die Windowsidentität verwendet. Auf Nicht-Domänengeräten gehen die Dinger dann gar nicht auf.
aqui
aqui 06.03.2020 um 17:10:18 Uhr
Goto Top
Oder im Eventlog,
Wo ist denn bei Linux, Smartphones oder Apple Mac das "Eventlog" ??
Der TO hat ja nirgendwo erwähnt das er den Stick auschliesslich nur in einer Winblows Umgebung nutzt ?!
NordicMike
NordicMike 06.03.2020 um 17:13:16 Uhr
Goto Top
Man könnte zumindest nachweisen ob USB Sticks eingesteckt wurden und welche Seriennummer sie hatten.
Lochkartenstanzer
Lochkartenstanzer 06.03.2020 um 17:20:42 Uhr
Goto Top
Zitat von @aqui:

Oder im Eventlog,
Wo ist denn bei Linux, Smartphones oder Apple Mac das "Eventlog" ??
Der TO hat ja nirgendwo erwähnt das er den Stick auschliesslich nur in einer Winblows Umgebung nutzt ?!

Wenn er was anderes nutzen würde hätte er vermutlich nicht oder anders gefragt. face-smile

lks
mblaster4711
mblaster4711 08.03.2020 um 08:04:09 Uhr
Goto Top
Zitat von @aqui:
Wo ist denn bei Linux oder Apple Mac das "Eventlog" ??

zu 99% unter
/var/log
aqui
aqui 08.03.2020 um 09:00:46 Uhr
Goto Top
Stimmt auch wieder ! face-wink
erikro
erikro 09.03.2020 um 08:08:11 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wenn er was anderes nutzen würde hätte er vermutlich nicht oder anders gefragt. face-smile

Naja, Apple könnte schon sein. face-wink