37414
Goto Top

Lassen sich besuchte Webseiten am Server herausfinden?

Hallo,

unsere Geschäftsleitung hat nun einen Personal-Sachbearbeiter eingestellt, der gleichzeitig IT-ler ist.

Nun vermuten (zurecht) die Mitarbeiter-/innen, dass er den Auftrag erhält, zu recherchieren, welche Webseiten von verschiedenen Mitarbeiter-/innen besucht werden.
Wir arbeiten mit einem Dateiserver (Win Server 2003) sowie einem Exchangeserver (2003).

Gibt es die Möglichkeit, direkt am Server festzustellen, welche Person wann welche Internetseiten an welchem PC besucht hat?
Wenn ja - wo findet man diese Einstellung und wie kann man das ggf. verhindern?

Danke und Gruss,
imebro

Content-ID: 168962

Url: https://administrator.de/forum/lassen-sich-besuchte-webseiten-am-server-herausfinden-168962.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

Hitman4021
Hitman4021 01.07.2011 um 12:22:36 Uhr
Goto Top
Hallo,

im Prinzip kann mann im DNS Server nachschauen welcher Client für welche Internetadresse eine Auflösung angefragt hat.

Verhindern kannst du dies durch einen Web Proxy oder durch die Verwendung eines alternativen Namservers, wodurch du allerdings Probleme mit der Anmeldung an der Domäne hast.

Gruß Hitman
37414
37414 01.07.2011 um 12:34:22 Uhr
Goto Top
Dank Dir "Hitman",

Mache ich das über den Router?
Wir nutzen einen Lancom-Router. Muss ich da einfach nach "DNS Server" suchen oder wie kann ich sehen, worüber Du geschrieben hast?

LG
imebro
Hitman4021
Hitman4021 01.07.2011 um 12:40:37 Uhr
Goto Top
Hallo,

du hast in deinem OS, in dem NW Einstellungen einen DNS-Server eingetragen denn kannst du ändern, allerdings hast du dann wie gesagt Probleme mit der Anmeldung an der Domäne.

Und das passiert am Server, der Router macht nur Weiterleitungen ins Internet.

Gruß
jwdb78
jwdb78 01.07.2011 um 12:41:22 Uhr
Goto Top
Abgesehen von der technischen Seite, greift zuerst der Datenschutz. Wenn der gute Mann diese Überwachung macht ohne vorher die Belegschaft zu informieren macht er sich strafbar.
Was aber interessant ist, zuerst fragst du ob es möglich ist, danach fragst du wie man es umsetzt. Bist du selbst der Personalsachbearbeiter?
37414
37414 01.07.2011 um 13:00:47 Uhr
Goto Top
Zitat von @jwdb78:
Was aber interessant ist, zuerst fragst du ob es möglich ist, danach fragst du wie man es umsetzt. Bist du selbst der
Personalsachbearbeiter?

nein, natürlich nicht.
Ich möchte mir nur den Weg anschauen, wie das gemacht würde. Nur dann kann ich ja auch ermitteln, wie ich das u.U. verhindern könnte.

Wäre ich der IT-ler, dann wüßte ich das ja ohnehin selbst, oder? face-smile

Also, keine Angst.

LG
imebro
Pjordorf
Pjordorf 01.07.2011 um 13:15:44 Uhr
Goto Top
Hallo,

Zitat von @Hitman4021:
im Prinzip kann mann im DNS Server nachschauen welcher Client für welche Internetadresse eine Auflösung angefragt hat.
Wie?

Gruß,
Peter
Pjordorf
Pjordorf 01.07.2011 um 13:25:06 Uhr
Goto Top
Hallo,

Zitat von @37414:
Ich möchte mir nur den Weg anschauen, wie das gemacht würde.
Sei unbesorgt. Da gibt es mehr als einen Wegface-smile

Nur dann kann ich ja auch ermitteln, wie ich das u.U. verhindern könnte.
Das wird wohl ebenso nichts werden.

Wäre ich der IT-ler, dann wüßte ich das ja ohnehin selbst, oder? face-smile
Das ist richtig. Dann würdest du den Aufbau eures Netzes kennen und du wüsstest welche Hardware mit welchen Funktionen ausgetstattet und in Betrieb ist sowie welche Softwareprodukte verwendete werden.

Wenn ihr nur den Lancom als Gateway für ausgehenden Verkehr, dort eingehend nur die Firewall und evtl.Portforwarding verwendet und sich niemand irgendwelche Protokolle / Logs davon anschaut, ist alles nur ein grosser Bluff.

Zu diesem Grundaufbau kann es ganz viele Variationen geben ohne das du als Mitarbeiter überhaupt etwas davon mitbekommst. Welche hier evtl. verwendet werden, ist durch deine IT Administration in erfahrung zu bringen.

Gruß,
Peter
amax2000
amax2000 01.07.2011 um 13:34:40 Uhr
Goto Top
Hallo Peter,

ich hoffe mal du bist nicht der Personaler face-wink

Am DNS kannst du das logging aktivieren und die Datei auswerten.

Ist aber nicht wirklich aussagekräftig, da du es zum einen nur bis zur IP verfolgen kannst (dynamisch?), zum anderen ist hier alles gelistet; also auch Seiten/URLs, die in Webseiten extern geladen werden (bspw. auf www.irgendeinetageszeitung.de werden werbungen geladen, so daß auch www.irgendeineabzockseite.de in dem Log erscheint, davon auch recht viele). Die Verweildauer kann hier auch nicht bestimmt werden.

Wäre ich der Spitzel, würde ich eher auf dem lancom die Content-Filtering Option "nutzen", oder am Proxy ansetzen (habt ihr zflg. jana?).


VG,

amax
37414
37414 01.07.2011 um 13:37:50 Uhr
Goto Top
Zitat von @Pjordorf:
Hallo,

> Zitat von @Hitman4021:
> im Prinzip kann mann im DNS Server nachschauen welcher Client für welche Internetadresse eine Auflösung angefragt
hat.
Wie?

Gruß,
Peter

na da kann ich jetzt schon helfen face-smile))

Habe eben über die Serververwaltung zur "dnsmgnt" gefunden und dort mal im Reiter "Debugprotokollierung" ein Häkchen gesetzt.
Dazu dann noch eine Protokolldatei soll erstellt werden... angehakt.
Dann hab ich mal selbst ein paar Internetseiten aufgerufen und - siehe da - etwas später sah man in der "Protokoll.txt" genau diese Internetseiten mit Angabe der internen PC-IP-Adresse.

Geht also und ich finde es schlimm, dass das so einfach geht.

Der Verdacht der Kolleg-/innen ist also absolut berechtigt.

LG
imebro
brammer
brammer 01.07.2011 um 13:43:07 Uhr
Goto Top
Hallo,

zusätzlich zu allen Vorschlägen und Anregungen:
Der Personaler/IT-ler und der Chef machen sich strafbar, außerdem machst du dich strafbar wenn du am Router oder Server Einstellungen änderst die durch die Geschäftsleitung so gewollt sind.

Also Hände weg, und bei begründetem Verdacht, den Chef ansprechen und zur Rede stellen.

brammer
Pjordorf
Pjordorf 01.07.2011 um 13:57:54 Uhr
Goto Top
Hallo,

Zitat von @37414:
Habe eben über die Serververwaltung zur "dnsmgnt" gefunden und dort mal im Reiter "Debugprotokollierung" ein Häkchen gesetzt.
Du hast Zugriff auf euren Server mit Adminstrativen Rechten? Klar, sonst hättest du ja dort die Debugprotokollierung welche ja ausgeschaltet war, einschalten können. Und ja, darüber geht es natürlich. Aber eben nur für Administratoren mit entsprechenden rechten. denen kannst du sowieso nichts verheimlichen.
Du bist aber nicht für eure IT verantwortlich oder haben wir das hier alle falsch verstanden? Du müsstest also eure Struktur und verwendeten Geräte und funktionen kennen, oder?
Du hast einen Mitarbeiter der nicht zur IT gehört aber so ohne weiteres die möglichkeit hat DNS Protokollierung am DNS server (ist natürlich auch ein DC) einzuschalten?

Bin gerade etwas verwirrt was du genau für ein problem hast face-smile

Geht also und ich finde es schlimm, dass das so einfach geht.
NEIN. Es geht nicht einfach so. Dazu sind entsprechebd hohe Rechte nötig und derjenige kann dann sowieso alles.

Der Verdacht der Kolleg-/innen ist also absolut berechtigt.
Nur wenn der Personalsachbearbeiter auch euer Administrator ist und oder dessen Rechte hat. Nur dann. Aber dann ist es auch sein Job, oder?

Das solltest du uns etwas näher erklären was dessen Position jetzt genau ist und ob dort sowieso jeder am Server kommt.

Gruß,
Peter
37414
37414 01.07.2011 um 14:05:48 Uhr
Goto Top
Ihr habt natürlich Recht... da ist Klärungsbedarf face-smile

Also:
Ich betreue unser Netzwerk (wenn man das so nennen mag), aber ich bin kein ausgebildeter IT-ler oder sonst in der Richtung ausgebildet.
Daher kenne ich auch unser Admin-Kennwort (es gibt hier nur eines!!).
Die Hauptaufgaben - bei Problemen etc. - hat eine Betreuerfirma übernommen und ich mache nur das, was ich halt kann.

Jetzt hat man einen neuen Personalsachbearbeiter eingestellt, der gleichzeitig aber auch IT-ler ist.
Ich könnte mir vorstellen, dass die Geschäftsleitung das mit dem Hintergrund gemacht hat, die Mitarbeiter zu kontrollieren (es gibt div. Hinweise darauf...).

Daher suche ich jetzt nach Möglichkeiten, wie ich es einschränken kann, dass die Kollegen, die natürlich auch mal privat surfen, nachher Ärger bekommen.

Habt Ihr Tipps... bzw.... wie würdet Ihr vorgehen?

Danke,
imebro
Pjordorf
Pjordorf 01.07.2011 um 14:22:43 Uhr
Goto Top
Hallo,

Zitat von @37414:
Ihr habt natürlich Recht... da ist Klärungsbedarf face-smile
Es werde licht!

Jetzt hat man einen neuen Personalsachbearbeiter eingestellt, der gleichzeitig aber auch IT-ler ist.
Hat er denn auch das Admin Passwort und darf es auch verwenden?

Ich könnte mir vorstellen, dass die Geschäftsleitung das mit dem Hintergrund gemacht hat, die Mitarbeiter zu kontrollieren (es gibt div. Hinweise darauf...).
Kann, muss aber nicht. Es gibt vielleicht sogar ganz andere Gründe. Egal, ist nicht relevant.

Daher suche ich jetzt nach Möglichkeiten, wie ich es einschränken kann, dass die Kollegen, die natürlich auch mal privat surfen, nachher Ärger bekommen
Du bringst dich gerade um deine Job. Lass es. Es ist alles nachvollziehbar. Sagen deinen Kollegen, die sollen sich an die vereinbarung halten. Wenn Privatnutzung Interenet und E-Mail untersagt ist, dann ist das so.

3 Admins (Du, Der Personalsachbearbeiter und die Betreuerfirma) welche Unterschiedliche Ziele verfolgen. Da ziehst du den kürzeren. Kannst (und vor allem darfst) du deinem Personalsachbearbeiter die Admin Rechte entziehen? Nein? Dann lass es.

Gruß,
Peter

[Nachtrag]
Läuft auf dem Server schon ein Programm zur Aufzeichnen was getan wurde (überwachung der Betreuerfirma oder wann wurde was geändert usw), hast du dir jetzt schon vermutlich deine Kündigung geschrieben.
[/Nachtrag]
37414
37414 01.07.2011 um 14:32:38 Uhr
Goto Top
Ja, der IT-ler hat auch das Admin-Kennwort erhalten.

Bisher läuft ein solches Programm nicht auf unserem Server. Ich habe sehr guten Kontakt zur Betreuerfirma und die arbeiten eher "für mich", als für unsere GL. Man kennt sich halt schon seit Jahren...

Ich hatte gehofft, dass es z.B. möglich wäre, für bestimmte Bereiche am Server ein anderes (zusätzliches) Admin-KW erstellen zu können. Das würde dann nur die Betreuerfirma und ich kennen.

Oder den Vorschlag zu machen, per proxy zu surfen, wenn es denn privat sein muss oder ansonsten irgend eine Möglichkeit zu schaffen, dass nicht zurückverfolgt werden kann, von welchem Arbeitsplatz aus wohin gesurft wurde.

LG
imebro
Pjordorf
Pjordorf 01.07.2011 um 14:42:00 Uhr
Goto Top
Hallo,

Zitat von @37414:
Ja, der IT-ler hat auch das Admin-Kennwort erhalten.
Dann ist doch alles klar. Er DARF und er SOLL.

Bisher läuft ein solches Programm nicht auf unserem Server. Ich habe sehr guten Kontakt zur Betreuerfirma und die arbeiten eher "für mich", als für unsere GL. Man kennt sich halt schon seit Jahren...
Spielt überhaupt keine Rolle. der GF ist der Entscheider...

Ich hatte gehofft, dass es z.B. möglich wäre, für bestimmte Bereiche am Server ein anderes (zusätzliches)
Admin-KW erstellen zu können.
Nein. Kann ja jederzeit von eurem Personalsachbearbeiter endeckt und geändert werden. (Unerlaubte Handlung wenn die GF das nicht absegnet).

Oder den Vorschlag zu machen, per proxy zu surfen, wenn es denn privat sein muss oder ansonsten irgend eine Möglichkeit zu schaffen, dass nicht zurückverfolgt werden kann, von welchem Arbeitsplatz aus wohin gesurft wurde.
Wenn Inet und Mail für Privat Tabu, dann ist es so. Alles andere was du willst lässt sich feststellen, egal was du oder deine Kollegen veranstalten. Unerlaubtes surfen bla bla bla.... Die Agentur für Arbeit sagt euch dann wie es danach weitergeht.

Gruß,
Peter
[Nachtrag]
Ist das Surfen etc nicht ausdrücklich verboten, also erlaubt oder geduldet, dann macht sich euer GF sowie der Personalsachbearbeiter Strafbar. Da hilft eine Anzeige bei der Staatsanwaltschaft um das zu klären.Euer Anwalt kann euch da Beraten.
[/Nachtrag]
37414
37414 01.07.2011 um 14:47:34 Uhr
Goto Top
Danke für die weiteren Angaben.

...nur um das mal klarzumachen...

Bei uns gibt es KEINE Anweisung, dass nicht privat gesurft werden darf!

Dennoch möchte natürlich keiner, dass der Arbeitgeber erfährt, AUF WELCHEN SEITEN man herumgesurft ist und wie lange.

Darum geht´s im Grunde.

Danke,
imebro
Pjordorf
Pjordorf 01.07.2011 um 14:59:19 Uhr
Goto Top
Hallo,

Zitat von @37414:
Bei uns gibt es KEINE Anweisung, dass nicht privat gesurft werden darf!
OK.

Dennoch möchte natürlich keiner, dass der Arbeitgeber erfährt, AUF WELCHEN SEITEN man herumgesurft ist und wie lange.
Aber der Arbeitgeber hat die Computer, die Switche, die Router, den Strom, das DSL usw alles bezahlt, oder?. Er bezahlt euch für eine gegenleistung, und diese ist bestimmt nicht dasPprivate Surfen, oder? Du siehst den Konflickt? Dafür gibt ergänzungen zum Arbeitsvetrag, Betreibsvereinbarung usw. Regelt das. oder glaubst du allen ernstes gegen deinen GF (und gegen der Gesellschaft dahinter) bestehen zu können? Wohl nicht.

Wenn du und alle anderen der meinung seid das es so nicht geht, geht zur Gewerkschaft oder einen Fachanwalt oder zeigt beide direkt bei der Staatsnwaltschaft an. Alles andere was du machen willst, muss doch erst genehmigt werden, oder? Und von wem?

Übrigens wird sich die Betreuerfirma recht Herzlich bedanke in solche Streitereien reingezogen zu werden. Die können da nämölich auch nur verlieren.

Und, Rechtsberatung was du tun kannst oder darfst, kann dir nur ein Anwalt geben.

Gruß,
Peter