harleaquinn
Goto Top

Zugriffe auf administrative Freigaben erkennen

Hallo liebe Admins,

folgende Aufgabenstellung habe ich (Admin in einer Firma) gerade:
Es gibt Benutzer in unserer Firma, die (berechtigten) Grund zur Annahme haben, dass ohne ihr Wissen und wahrscheinlich auch ohne genehmigten Anlaß auf lokal auf dem Rechner gespeicherte Daten zugegriffen wird (durch einen Admin).
Wie kann man den Zugriff protokollieren? Den aktiven Zugriff direkt aufzeigen lassen (um den Zugreifenden in flagranti) stellen zu können?

Umgebung ist wie folgt:

- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.

- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben

Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird

Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.

In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!

Content-ID: 176458

Url: https://administrator.de/contentid/176458

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

sanixo
sanixo 18.11.2011 um 11:49:39 Uhr
Goto Top
Hallo HarLeaQuinn,

nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:

In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.

sanixo
HarLeaQuinn
HarLeaQuinn 18.11.2011 um 11:52:35 Uhr
Goto Top
Ja danke, ist mir bekannt (hätte ich erwähnen sollen).
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.

Aber: danke!
DerWoWusste
DerWoWusste 18.11.2011 um 12:01:30 Uhr
Goto Top
Hi!

Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
60730
60730 18.11.2011 um 12:01:49 Uhr
Goto Top
moin,

naja - das wird schwer bis unmöglich...
Windows-Domäne (2003)

Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.

10 Mitarbeiter, die einen Domänen-Admin-Account haben.

uiuiui...

Du kannst - theoretisch "maintain objects list" anwerfen und via
openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks erscheint....

:start
ping -n 5 localhost>nul
openfiles |findstr /i /v "%username%">>abghjk.tmp  
goto start
edit
Der localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
HarLeaQuinn
HarLeaQuinn 18.11.2011 um 12:08:53 Uhr
Goto Top
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so
konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
Werde ich mir mal anlesen

-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit
findstr filtert und eine Aktion auslöst.
Scheint mit dem zu passen, was TimoBeil gerade geschrieben hat

-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den
lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Ach an dem Thema (deaktivierung des lokalen Admins/ personalisierte DomAdmins haben wir) arbeite ich hier schon länger - auch wenn ich hoffe, dass kein Kollege hier Mist baut: Aber ein solcher Vorfall könnte mein Vorhaben untermauern und durchsetzen helfen!

Danke!
HarLeaQuinn
HarLeaQuinn 18.11.2011 um 12:14:51 Uhr
Goto Top
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an
einem anderen Client Zeugs zieht?
So fleissig wird derjenige wohl nicht sein, sondern bestimmt eher von seinem AP aus.
> 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
JA! (siehe Bestreben zu "Abschaffung lokalesAdmin-Konto" oben...

Du kannst - theoretisch "maintain objects list" anwerfen und via
> openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über
den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks
erscheint....

> :start
> ping -n 5 localhorst>nul
> openfiles |findstr /i /v "%username%">>abghjk.tmp  
> goto start
> 
Das mit der lokal gestarteten Batch ist ne gute Idee. Ich nehme nicht an, dass der Kollege Neugierde nur breit rumschnüffelt und Prozessen etc. keine Aufmerksamkeit schenken wird.

Danke Euch beiden. ich markier das mal als "Gelöst"