Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zugriffe auf administrative Freigaben erkennen

Mitglied: HarLeaQuinn

HarLeaQuinn (Level 1) - Jetzt verbinden

18.11.2011 um 11:37 Uhr, 8573 Aufrufe, 6 Kommentare

Hallo liebe Admins,

folgende Aufgabenstellung habe ich (Admin in einer Firma) gerade:
Es gibt Benutzer in unserer Firma, die (berechtigten) Grund zur Annahme haben, dass ohne ihr Wissen und wahrscheinlich auch ohne genehmigten Anlaß auf lokal auf dem Rechner gespeicherte Daten zugegriffen wird (durch einen Admin).
Wie kann man den Zugriff protokollieren? Den aktiven Zugriff direkt aufzeigen lassen (um den Zugreifenden in flagranti) stellen zu können?

Umgebung ist wie folgt:

- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.

- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben

Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird

Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.

In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!
Mitglied: sanixo
18.11.2011 um 11:49 Uhr
Hallo HarLeaQuinn,

nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:

In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.

sanixo
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 11:52 Uhr
Ja danke, ist mir bekannt (hätte ich erwähnen sollen).
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.

Aber: danke!
Bitte warten ..
Mitglied: DerWoWusste
18.11.2011 um 12:01 Uhr
Hi!

Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
Bitte warten ..
Mitglied: 60730
18.11.2011 um 12:01 Uhr
moin,

naja - das wird schwer bis unmöglich...
Windows-Domäne (2003)

Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.

10 Mitarbeiter, die einen Domänen-Admin-Account haben.

uiuiui...

Du kannst - theoretisch "maintain objects list" anwerfen und via
openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks erscheint....

01.
:start
02.
ping -n 5 localhost>nul
03.
openfiles |findstr /i /v "%username%">>abghjk.tmp
04.
goto start
edit
Der localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:08 Uhr
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so
konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
Werde ich mir mal anlesen

-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit
findstr filtert und eine Aktion auslöst.
Scheint mit dem zu passen, was TimoBeil gerade geschrieben hat

-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den
lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Ach an dem Thema (deaktivierung des lokalen Admins/ personalisierte DomAdmins haben wir) arbeite ich hier schon länger - auch wenn ich hoffe, dass kein Kollege hier Mist baut: Aber ein solcher Vorfall könnte mein Vorhaben untermauern und durchsetzen helfen!

Danke!
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:14 Uhr
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an
einem anderen Client Zeugs zieht?
So fleissig wird derjenige wohl nicht sein, sondern bestimmt eher von seinem AP aus.
> 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
JA! (siehe Bestreben zu "Abschaffung lokalesAdmin-Konto" oben...

Du kannst - theoretisch "maintain objects list" anwerfen und via
> openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über
den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks
erscheint....

01.
> :start
02.
> ping -n 5 localhorst>nul
03.
> openfiles |findstr /i /v "%username%">>abghjk.tmp
04.
> goto start
05.
> 
Das mit der lokal gestarteten Batch ist ne gute Idee. Ich nehme nicht an, dass der Kollege Neugierde nur breit rumschnüffelt und Prozessen etc. keine Aufmerksamkeit schenken wird.

Danke Euch beiden. ich markier das mal als "Gelöst"
Bitte warten ..
Ähnliche Inhalte
Samba
Nicht passende Rechte auf Samba-Freigab
Frage von diwaffmSamba9 Kommentare

Hi Leute, ich habe hier einen openSUSE Server auf dem ein Samba läuft. Auf die Freigaben dieses Samba greifen ...

Outlook & Mail
Programmgesteuerter Zugriff
Frage von jujeizeOutlook & Mail4 Kommentare

Hallo, ich habe folgendes Problem. Ein Benutzer möchte aus Datev heraus Emails über Outlook 2013 verschicken. Leider erscheint immer ...

Netzwerkprotokolle
IPV6 Zugriff testen?
gelöst Frage von IllusionFACTORYNetzwerkprotokolle13 Kommentare

Hallo, zusammen, wir hosten Websites bei Mittwald und haben jetzt festgestellt, dass de Server keine IPV6-Adressen haben. Mittwald lässt ...

Windows 7
Domainanmeldung - Zugriff verweigert
gelöst Frage von Jannis92Windows 71 Kommentar

Moin Moin, wir befinden uns gerade in der Vorbereitung für einen Hardware Rollout. Somit werden aktuell alle Rechner mit ...

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 StundenWindows 10

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 6 StundenSicherheit1 Kommentar

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 6 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 9 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Windows Server
Client in die Domäne einbinden - Allgemeine Frage dazu
gelöst Frage von RalphTWindows Server18 Kommentare

Moin, ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle. Ich bringe in der Hauptstelle ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...

Internet
Google-Suchergebnisse, Schnelleinblendung, woher kommt der Inhalt?
gelöst Frage von departure69Internet17 Kommentare

Hallo. Ich bin der Systembetreuer einer kleinen Gemeinde in Süddeutschland. Wir betreiben auch eine Leihbücherei. Eine Kundin hat letzten ...