8
Protokollierung von System- und User-Aktivitäten
Hallo zusammen,
eines sag ich gleich vorweg, hier geht es nicht darum Anwender auszuspionieren, sondern eine bessere IT-Sicherheit zu erreichen.
Unsere User sind mit ihren Notebooks viel außerhalb der Firma tätig und müssen für die Betreuung von Kundenanlagen auch häufig Software installieren. Daher haben die meisten auf ihren Notebooks auch Admin-Rechte. Die Installation und Verwendung von Programmen ist in unserer Firma durch duch entsprechende Vorschriften reglementiert, so das es eigentlich keine Probleme geben sollte, wenn sich alle daran halten würden. Dem ist aber leider nicht so. Dadurch hatten wir in der Vergangenheit also auch schon Probleme mit Viren, Tauschbörsen-Software und sogar Raubkopien.
Ich suche daher jetzt nach einer Möglichkeit, Programminstallationen, Programmaufrufe etc. auf den Notebooks zu protokollieren und das ganze dann nach Möglichkeit zentral zu erfassen und automatisch auszuwerten.
Wie oben bereits gesagt, geht es nicht darum, die User auszuspionieren, sondern nur darum, unerlaubte Programmistallationen und Aufrufe zu registieren.
Kennt jemand hier entsprechende Tolls oder Windows-Boardmittel, womit ich sowas realisieren könnte?
MfG
Norbert
Ich suche daher jetzt nach einer Möglichkeit, Programminstallationen, Programmaufrufe etc. auf den Notebooks zu protokollieren und das ganze dann nach Möglichkeit zentral zu erfassen und automatisch auszuwerten.
Wie oben bereits gesagt, geht es nicht darum, die User auszuspionieren, sondern nur darum, unerlaubte Programmistallationen und Aufrufe zu registieren.
Kennt jemand hier entsprechende Tolls oder Windows-Boardmittel, womit ich sowas realisieren könnte?
MfG
Norbert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162915
Url: https://administrator.de/contentid/162915
Printed on: April 25, 2024 at 04:04 o'clock
8 Comments
Latest comment
Installationen erzeugen oft im Ereignisprotokoll Einträge - Du kannst an diese Einträge Tasks binden, zum Beispiel eine Mail senden, die den Inhalt des Eintrags (auslesen mit dumpel.exe in Verbindung mit findstr) an Dich senden. Siehe Möglichkeiten der Eventlogüberwachung mit Vista und 2008
Du könntest auch die NTFS-Überwachung für c:\programme einschalten und dann das Sicherheitslog monitoren.
Die Aufrufe zu monitoren ist jedoch schwieriger. Bedenke, dass Du alle Starts von irgendwas monitoren würdest. Man kann auch hier mit Überwachung bestimmter Verzeichnisse arbeiten (überwache die Ausführung beispielsweise). Wie möchtest Du das automatisch auswerten?
Denkbar wäre folgende Kombi: Software restriction policies (bzw. applocker auf win7) lassen nur Starts aus c:\programme\... zu (Pfadregel) und die Schreibzugriffe darauf werden gemonitort - somit kann nichts ausgeführt werden, von dem Du nichts mitbekommst.
Du könntest auch die NTFS-Überwachung für c:\programme einschalten und dann das Sicherheitslog monitoren.
Die Aufrufe zu monitoren ist jedoch schwieriger. Bedenke, dass Du alle Starts von irgendwas monitoren würdest. Man kann auch hier mit Überwachung bestimmter Verzeichnisse arbeiten (überwache die Ausführung beispielsweise). Wie möchtest Du das automatisch auswerten?
Denkbar wäre folgende Kombi: Software restriction policies (bzw. applocker auf win7) lassen nur Starts aus c:\programme\... zu (Pfadregel) und die Schreibzugriffe darauf werden gemonitort - somit kann nichts ausgeführt werden, von dem Du nichts mitbekommst.
Hallo DerWoWusste,
ob ich da wirklich "nur" mit Policies weiterkomme, weiss ich nicht. Wir setzen W2k, XP und Win7 auf den Notebooks ein. Außer der Programminstallation machen mir auch die vielen PortableAps Kopfzerbrechen. Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen. Ich kann doch nicht der Einzige sein, der sich deswegen einen Kopf macht.
Ich hatte gehofft, es gibt dafür irgendein Programm, vielleicht sogar als OpenSource, was ich dafür einsetzen könnte.
MfG
Norbert
ob ich da wirklich "nur" mit Policies weiterkomme, weiss ich nicht. Wir setzen W2k, XP und Win7 auf den Notebooks ein. Außer der Programminstallation machen mir auch die vielen PortableAps Kopfzerbrechen. Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen. Ich kann doch nicht der Einzige sein, der sich deswegen einen Kopf macht.
Ich hatte gehofft, es gibt dafür irgendein Programm, vielleicht sogar als OpenSource, was ich dafür einsetzen könnte.
MfG
Norbert
Hi.
Ich liefer ein Konzept und Du schreibst "Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen" - das war eine erntgemeinte Lösung. Diese funktioniert auf win2k nicht vollständig (weil 2k keine Software restriction policies kennt), aber win2k sollte wegen diverser Sicherheitsbedenken nicht mehr einsetzen.
Auch OpenSource würde die selben Ansätze wählen müssen: NTFS-Überwachung und SRPs.
Ich liefer ein Konzept und Du schreibst "Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen" - das war eine erntgemeinte Lösung. Diese funktioniert auf win2k nicht vollständig (weil 2k keine Software restriction policies kennt), aber win2k sollte wegen diverser Sicherheitsbedenken nicht mehr einsetzen.
Auch OpenSource würde die selben Ansätze wählen müssen: NTFS-Überwachung und SRPs.
Hallo DerWoWusste,
ich wollte deinen Lösungsansatz wirklich nicht "schlecht" machen, ich sehe mich aber nicht in der Lage, bei den unterschiedlichen Win-Versionen und Konfigurationen deine Lösung umzusetzen.
Wenn ich dich richtig verstanden habe, hast du sowas auch noch nicht gemacht (entschuldige bitte, wenn ich das falsch verstanden habe). Also bleibt für mich die Frage, ob andere Admins dieses Problem nicht haben oder sehen, oder vielleicht einen Lösungsansatz/ ein Progamm kennen, mit der ICH MEIN Problem relativ einfach lösen kann.
MfG
Norbet
ich wollte deinen Lösungsansatz wirklich nicht "schlecht" machen, ich sehe mich aber nicht in der Lage, bei den unterschiedlichen Win-Versionen und Konfigurationen deine Lösung umzusetzen.
Wenn ich dich richtig verstanden habe, hast du sowas auch noch nicht gemacht (entschuldige bitte, wenn ich das falsch verstanden habe). Also bleibt für mich die Frage, ob andere Admins dieses Problem nicht haben oder sehen, oder vielleicht einen Lösungsansatz/ ein Progamm kennen, mit der ICH MEIN Problem relativ einfach lösen kann.
MfG
Norbet
Ich hab das schonmal gemacht und finde den Aufwand vertretbar. Unter Win2k gehen SRPs nunmal nicht. Wozu siehst Du Dich nicht in der Lage? Liegt das nur an win2k?
Hallo,
das liegt nicht nur an Win2k, obwohl die Rechner dann natürlich außen vor sind. Die Themen NTFS-Überwachung und SRPs sind eher Neuland für mich. Und abgesehen davon würde ich trozdem gerne wissen, wie das Problem in anderen Firmen gesehen wird.
MfG
Norbert
das liegt nicht nur an Win2k, obwohl die Rechner dann natürlich außen vor sind. Die Themen NTFS-Überwachung und SRPs sind eher Neuland für mich. Und abgesehen davon würde ich trozdem gerne wissen, wie das Problem in anderen Firmen gesehen wird.
MfG
Norbert
Gut, damit kann ich nicht dienen und ich glaube auch, dass meine Lösung nicht abwegig oder ungewöhnlich ist, so dass ich nicht erwarte, dass andere Lösungen häufig anzutreffen sein werden. Mach Dich mit den Ansätzen vertraut, sie sind nicht kompliziert.
Hallo,
wie schon geschrieben, ich wollte deine Lösung keinesfalls abwerten und bedanke mich auch recht herzlich für deine Tips.
MfG
Norbert
wie schon geschrieben, ich wollte deine Lösung keinesfalls abwerten und bedanke mich auch recht herzlich für deine Tips.
MfG
Norbert
