Zugriffe auf administrative Freigaben erkennen

Mitglied: HarLeaQuinn

HarLeaQuinn (Level 1) - Jetzt verbinden

18.11.2011 um 11:37 Uhr, 10397 Aufrufe, 6 Kommentare

Hallo liebe Admins,

folgende Aufgabenstellung habe ich (Admin in einer Firma) gerade:
Es gibt Benutzer in unserer Firma, die (berechtigten) Grund zur Annahme haben, dass ohne ihr Wissen und wahrscheinlich auch ohne genehmigten Anlaß auf lokal auf dem Rechner gespeicherte Daten zugegriffen wird (durch einen Admin).
Wie kann man den Zugriff protokollieren? Den aktiven Zugriff direkt aufzeigen lassen (um den Zugreifenden in flagranti) stellen zu können?

Umgebung ist wie folgt:

- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.

- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben

Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird

Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.

In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!
Mitglied: sanixo
18.11.2011 um 11:49 Uhr
Hallo HarLeaQuinn,

nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:

In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.

sanixo
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 11:52 Uhr
Ja danke, ist mir bekannt (hätte ich erwähnen sollen).
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.

Aber: danke!
Bitte warten ..
Mitglied: DerWoWusste
18.11.2011 um 12:01 Uhr
Hi!

Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
Bitte warten ..
Mitglied: 60730
60730 (Level 5)
18.11.2011 um 12:01 Uhr
moin,

naja - das wird schwer bis unmöglich...
Windows-Domäne (2003)

Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.

10 Mitarbeiter, die einen Domänen-Admin-Account haben.

uiuiui...

Du kannst - theoretisch "maintain objects list" anwerfen und via
openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks erscheint....

edit
Der localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:08 Uhr
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so
konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
Werde ich mir mal anlesen

-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit
findstr filtert und eine Aktion auslöst.
Scheint mit dem zu passen, was TimoBeil gerade geschrieben hat

-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den
lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Ach an dem Thema (deaktivierung des lokalen Admins/ personalisierte DomAdmins haben wir) arbeite ich hier schon länger - auch wenn ich hoffe, dass kein Kollege hier Mist baut: Aber ein solcher Vorfall könnte mein Vorhaben untermauern und durchsetzen helfen!

Danke!
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:14 Uhr
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an
einem anderen Client Zeugs zieht?
So fleissig wird derjenige wohl nicht sein, sondern bestimmt eher von seinem AP aus.
> 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
JA! (siehe Bestreben zu "Abschaffung lokalesAdmin-Konto" oben...

Du kannst - theoretisch "maintain objects list" anwerfen und via
> openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über
den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks
erscheint....

Das mit der lokal gestarteten Batch ist ne gute Idee. Ich nehme nicht an, dass der Kollege Neugierde nur breit rumschnüffelt und Prozessen etc. keine Aufmerksamkeit schenken wird.

Danke Euch beiden. ich markier das mal als "Gelöst"
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgbornVor 1 TagInformationMicrosoft6 Kommentare

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys

Router & Routing
Vodafone Kabel: Eigenen Router an den Kabelanschluss oder einen WLAN-Router ohne Modem hinter die Vodafone Station?
gelöst DyingWordsVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, da wir demnächst in eine Wohnung mit Kabelanschluss von Vodafone einziehen werden, frage ich mich, ob es sinnvoller ist einen eigenen Router ...

Linux
Installation Grammm Server
smeclntVor 23 StundenFrageLinux11 Kommentare

Hallo zusammen, meine Linux Kenntnisse sind sehr rudimentär trotzdem suche ich eigentlich ständig nach einer Alternative zu MS Exchange. Bis jetzt gab es nichts ...

Windows Systemdateien
Windows CE 6.0 Problem
gelöst PepsiDoseVor 1 TagFrageWindows Systemdateien10 Kommentare

Servus, Ich habe letztens ein alten mini. Netbook mobile Computer gefunden (Oder wie die heißen) welches Windows CE 6.0 betreibt. Mein Problem ist, es ...

Entwicklung
Welche Programmiersprache für REST-API Tool?
chrisproudVor 1 TagFrageEntwicklung7 Kommentare

Hallo zusammen, ich möchte mir gerne eine möglichst einfache aber vielseitig verwendbare Programmiersprache aneignen. Aktuell habe ich nur oberflächliche Kenntnisse in Webentwicklung (html, php, ...

LAN, WAN, Wireless
Kaufempfehlung für aktuellen WLAN AP
SchallyVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Hallo, ich bin auf der Suche nach einem WLAN AP für mein Neubau. Der AP soll an einen vorhandenen Cisco-SG350-28P Switch gehängt werden. Auf ...

E-Mail
Email mittels Batch und Mailsend verschicken
NurAnwenderVor 1 TagFrageE-Mail15 Kommentare

Hallo, Ich möchte Emails über das Programm Mailsend1.19 verschicken, bekomme aber immer die Meldung "Error: Unrecognized option: E-Mail" Die Batch sieht folgendermaßen aus: echo ...

Windows 10
Windows 10 interes Mikro ohne Funktion
TPH125Vor 1 TagFrageWindows 106 Kommentare

Hallo zusammen, Ich verzweifelt bald. Besitze einen Medion Akoya MD 97110. Habe Windows 10 installiert, seit dem funktioniert das inigrierte Mikrofon nicht mehr. Gerät ...