Windows PC Datei-Operationen überwachen
Hallo Zusammen.
Ein Kunde hat den starken Verdacht, dass zwei Mitarbeiter wirtschaftsrelevante Daten aus dem Unternehmen an die Konkurrenz abfließen lassen. Kennt jemand Tools, die einen Windows PC überwachen, also auch inkl. Surfverhalten, Login bei Dropbox, Google, Web.de und Hochladen von Dateien oder natürlich Kopieren von Dateien auf USB-Stick etc.
Mir ist klar, dass das hier rechtlich sehr heikel ist. Der Kunde sichert sich rechtlich mit Fachleuten, BR usw ab, also hier bitte keine Diskusssion darüber. Kennt jemand Tools, die sicherstellen, dass nichts abfließt, bzw Tools, die evtl. Täter überführen können?
Liebe Grüße
puerto
Ein Kunde hat den starken Verdacht, dass zwei Mitarbeiter wirtschaftsrelevante Daten aus dem Unternehmen an die Konkurrenz abfließen lassen. Kennt jemand Tools, die einen Windows PC überwachen, also auch inkl. Surfverhalten, Login bei Dropbox, Google, Web.de und Hochladen von Dateien oder natürlich Kopieren von Dateien auf USB-Stick etc.
Mir ist klar, dass das hier rechtlich sehr heikel ist. Der Kunde sichert sich rechtlich mit Fachleuten, BR usw ab, also hier bitte keine Diskusssion darüber. Kennt jemand Tools, die sicherstellen, dass nichts abfließt, bzw Tools, die evtl. Täter überführen können?
Liebe Grüße
puerto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72138154987
Url: https://administrator.de/forum/windows-pc-datei-operationen-ueberwachen-72138154987.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
wie wärs mit einer anständig konfigurierten Firewall? Bei uns sind z.B. alle Seiten gesperrt, die dienstlich nicht gebraucht werden. Wozu braucht ihr Dropbox, Google-Cloudspeicher, Web.de oder andere Cloudspeicher? Das sind nur deine Beispiele, bei uns ist alles gesperrt was nicht separat freigegeben wird. Hilft schonmal.
Darüber hinaus: Wieso sind USB-Sticks erlaubt? ist das notwendig? Bei uns nicht, also Wechselmedien via GPO sperren, fertig.
Je nach Dateityp kann dir auch Microsoft Information Protectivon (MIB) helfen. Dokumenten kannst du so das Drrucken verbieten, sofern sie nicht mit einem deiner Domäne zugeordnete Azure-Konto verknüpft sind. Wir haben dies auch umgesetzt. Die Anwender können solche Daten (überwiegend PDF) zwar per Mail versenden, aber der Empfänger nicht mehr öffnen.
Ansonsten sollte deine Firewall Mail-Verkehr mit Anhängen, Dateiupload, etc. protokollieren. Ggf. noch im Mail-Archiv schauen. Wenn entsprechend konfiguriert, dann könnten Mails mit denen die Daten das unternehmen verlassen haben im Mail-Archiv vorhanden sein. Sein Outlook kann der User vorm Backup löschen, im mail-Archiv kann er das nicht.
Gruß
Doskias
wie wärs mit einer anständig konfigurierten Firewall? Bei uns sind z.B. alle Seiten gesperrt, die dienstlich nicht gebraucht werden. Wozu braucht ihr Dropbox, Google-Cloudspeicher, Web.de oder andere Cloudspeicher? Das sind nur deine Beispiele, bei uns ist alles gesperrt was nicht separat freigegeben wird. Hilft schonmal.
Darüber hinaus: Wieso sind USB-Sticks erlaubt? ist das notwendig? Bei uns nicht, also Wechselmedien via GPO sperren, fertig.
Je nach Dateityp kann dir auch Microsoft Information Protectivon (MIB) helfen. Dokumenten kannst du so das Drrucken verbieten, sofern sie nicht mit einem deiner Domäne zugeordnete Azure-Konto verknüpft sind. Wir haben dies auch umgesetzt. Die Anwender können solche Daten (überwiegend PDF) zwar per Mail versenden, aber der Empfänger nicht mehr öffnen.
Ansonsten sollte deine Firewall Mail-Verkehr mit Anhängen, Dateiupload, etc. protokollieren. Ggf. noch im Mail-Archiv schauen. Wenn entsprechend konfiguriert, dann könnten Mails mit denen die Daten das unternehmen verlassen haben im Mail-Archiv vorhanden sein. Sein Outlook kann der User vorm Backup löschen, im mail-Archiv kann er das nicht.
Gruß
Doskias
@SeaStorm
Das mit der Data Loss Prevention von MS ist ja ganz nett, nur muss man sagen, wenn jemand wirklich die Absicht hat, Daten fließen zu lassen, dann hilft das auch nicht. Man kann jedes System austricksen.
Das mit der Data Loss Prevention von MS ist ja ganz nett, nur muss man sagen, wenn jemand wirklich die Absicht hat, Daten fließen zu lassen, dann hilft das auch nicht. Man kann jedes System austricksen.
Also es gibt ja zig Wege, Data Loss Prevention zu leben.
Ich erinnere mich erst jüngst an die Frage, wozu man eine Next-Generation Firewall gebrauchen könnte.
Diese bietet auf jeden Fall die Möglichkeit, die Verwendung von Cloud Sharing Diensten wie Dropbox zu blockieren oder zumindest zu protokollieren und auf Wunsch auch zu alarmieren. Inklusive aller übertragenen Dateien, sofern man das wünscht.
Ansonsten gibt es noch diverse Tools, mit denen man die Verwendung von USB-Sticks einschränken kann. Man kann deren Nutzung gänzlich unterbinden, oder geht zumindest den recht sinnvollen Mittelweg. Man erlaubt USB-Sticks anhand derer Seriennummern und Informationen werden automatisch im Hintergrund ver- oder entschlüsselt, sofern man einen Firmen-PC verwendet. Die Daten sind dann auch einem Fremd-PC unbrauchbar.
Das hat sogar noch weitere Vorteile: ein auf dem öffentlich zugänglichen Firmenparkplatz oder gar Bahnhof verlorener USB-Stick birgt kein Sicherheitsrisiko. Ebenso ein absichtlich mit Malware modifizierter USB-Stick, der einfach irgendwo "fallengelassen" wurde. Denn er ist ja nicht erlaubt.
Im Home-Office kann man auch prima Daten verscherbeln, außer man praktiziert Always-on-VPN.
Und wer wirklich krass drauf ist, der schiebt seine Daten bspw. per DNS nach draußen. Das dauert zwar, fällt aber kaum jemandem auf. Hab ich sogar auch schon ausprobiert.
Fazit ist: Es ist verdammt schwierig, soetwas nachzuweisen, wenn man nicht die ganz groben Schnitzer macht.
Wenn ihr keine gute Firewall habt, die auch SSL entschlüsseln kann, oder moderne Endpoint Protection mit EDR, dann sieht es schlecht aus. Insbesondere, wenn der Drops vielleicht schon gelutscht ist. Man könnte ein Festplattenimage der Clients erstellen und bspw. mit Autopsy auslesen. Und für zuknüftige Geschichten könnte man auf den Fileservern noch das Auditing aktivieren, sodass die Fileserver Dateizugriffe ebenfalls im Windows Eventlog protokollieren. Aber das erzeugt massiv viele Ereignisse. Die sollte man dann zumindest an einen Syslog-Server weiterleiten. Und selbst da kann das, abhängig von der Aktivität auf den Fileservern, verdammt viele Gigabytes an Logeinträgen generieren.
Wir bewegen uns hier ja am Ende auch schon im Bereich der Forensik. Wenn die Gefahr so gravierend ist, dass ihr BR und Fachleute einschaltet, solltet ihr ggfls. auch mal über ein externen Forensiker oder DLP-Experten gedanken machen.
Ich erinnere mich erst jüngst an die Frage, wozu man eine Next-Generation Firewall gebrauchen könnte.
Diese bietet auf jeden Fall die Möglichkeit, die Verwendung von Cloud Sharing Diensten wie Dropbox zu blockieren oder zumindest zu protokollieren und auf Wunsch auch zu alarmieren. Inklusive aller übertragenen Dateien, sofern man das wünscht.
Ansonsten gibt es noch diverse Tools, mit denen man die Verwendung von USB-Sticks einschränken kann. Man kann deren Nutzung gänzlich unterbinden, oder geht zumindest den recht sinnvollen Mittelweg. Man erlaubt USB-Sticks anhand derer Seriennummern und Informationen werden automatisch im Hintergrund ver- oder entschlüsselt, sofern man einen Firmen-PC verwendet. Die Daten sind dann auch einem Fremd-PC unbrauchbar.
Das hat sogar noch weitere Vorteile: ein auf dem öffentlich zugänglichen Firmenparkplatz oder gar Bahnhof verlorener USB-Stick birgt kein Sicherheitsrisiko. Ebenso ein absichtlich mit Malware modifizierter USB-Stick, der einfach irgendwo "fallengelassen" wurde. Denn er ist ja nicht erlaubt.
Im Home-Office kann man auch prima Daten verscherbeln, außer man praktiziert Always-on-VPN.
Und wer wirklich krass drauf ist, der schiebt seine Daten bspw. per DNS nach draußen. Das dauert zwar, fällt aber kaum jemandem auf. Hab ich sogar auch schon ausprobiert.
Fazit ist: Es ist verdammt schwierig, soetwas nachzuweisen, wenn man nicht die ganz groben Schnitzer macht.
Wenn ihr keine gute Firewall habt, die auch SSL entschlüsseln kann, oder moderne Endpoint Protection mit EDR, dann sieht es schlecht aus. Insbesondere, wenn der Drops vielleicht schon gelutscht ist. Man könnte ein Festplattenimage der Clients erstellen und bspw. mit Autopsy auslesen. Und für zuknüftige Geschichten könnte man auf den Fileservern noch das Auditing aktivieren, sodass die Fileserver Dateizugriffe ebenfalls im Windows Eventlog protokollieren. Aber das erzeugt massiv viele Ereignisse. Die sollte man dann zumindest an einen Syslog-Server weiterleiten. Und selbst da kann das, abhängig von der Aktivität auf den Fileservern, verdammt viele Gigabytes an Logeinträgen generieren.
Wir bewegen uns hier ja am Ende auch schon im Bereich der Forensik. Wenn die Gefahr so gravierend ist, dass ihr BR und Fachleute einschaltet, solltet ihr ggfls. auch mal über ein externen Forensiker oder DLP-Experten gedanken machen.