jollyjumper83
Goto Top

Zugriffe und Web-Weiterleitungen im Netzwerk nachverfolgen.

Hallo liebes Admin Team,

so nun habe ich mal eine deutlich schärfere Frage als sonst.

Es ist derzeit so das sich in unserem Unternehmen ein dringender Verdacht erhärtet, das jemand etwas illegales tut. So kurz und knapp beschreibe ich den Fall mal. Ich werde da auch nicht weiter drauf eingehen.
Meine Frage ist dahingehend, kann ich über Windows eigene Mittel A: Webweiterleitungen samt Client-IP erfassen und auslesen, und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen. Da ich hier nicht gerichtsverwertbare Unterlagen sammeln möchte sondern es lediglich darum geht ersteinmal einen Ansatz zu finden. Würde ich das gerne mal Wissen.
Zudem ist es dann Aufgabe von Profis, dieses wirklich dingfest zu machen. Nur für den Anfang brauche ih erstmal einen Ansatz.

Hoffe Ihr könnt mir weiterhelfen.

PS: Es liegt mir nix ferner als meine Mitarbeiter auszuspähen oder irgendetwas der Gleichen. Zumal die Nutzung des Internets auch ausdrücklich gewünscht ist. Hier geht es wirklich um eine Straftat eines Einzelnen, sofern sich der Verdacht bestätigen sollte.


Plattform
Windows SBS 2011

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.

Content-Key: 187428

Url: https://administrator.de/contentid/187428

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Pjordorf
Pjordorf 03.07.2012 um 19:40:45 Uhr
Goto Top
Hallo,

Zitat von @JollyJumper83:
Webweiterleitungen samt Client-IP erfassen und auslesen,
Was gernau verstehst da darunter? Bitte erläutern da sich jeder etwas anderes darunter vorstellen kann, aber nicht das was du vielleicht gemint hast. Ein Beispiel wenn es nicht anders geht. Wer, an welchem Client, Wo, wohin, Protokoll, Zugriffsrechte, usw.

und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen.
Klar. Das konnte Windows schon immer. Du suchts hier Überwachung.
- Ordner wählen und rechte Taste
- Eigenschaften
- Sicherheit
- Erweitert
Überwachung wählen. das gleiche für Dateien

Process Monitor geht auch.

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.
Über welche wege (VPN, RDP, LAN, WWAN, WEB, FTP usw) besteht Zugriff auf das betroffene System?
Passwörter bekannt?
Offene Ports?
Firewalls alle aktiv?
Wer hat alles Zugriff auf den Router jetzt / gehabt?

Was für ein Werkzeug hättest du gerne wenn dir die Wege nicht klar sind? Es gibt mehr als Tausend möglichkeiten deinen Server und Netz zu Überwachen. Einiges ist kostenfrei in der Anschaffung, vieles kostet teueres Geld. Aber die Bedienung dieser Werkzeuge setzt entsprechendes Fachwissen voraus sonst sind die Ergebnisse nicht besser als das was du jetzt an Informationen hast.

Gruß,
Peter
Mitglied: JollyJumper83
JollyJumper83 05.07.2012 um 13:03:01 Uhr
Goto Top
Hallo Peter,

vielen Dank für deine Antwort, leider konnte ich erst heute Antworten. Also es hat sich in der Zwischenzeit auch etwas ergeben.

Wir wissen jetzt welcher Mitarbeiter hier etwas verrückt spielt. Das heißt natürlich auch das wir wissen von welchem PC / Laptop das Ganze ausgeht. Zum Glück ist das nicht mehr so ganz dramatisch wie es sich durch ein Richterliches Schreiben angehört hat, aber dennoch keine Bagatelle.

Um es nochmal etwas klarer darzustellen. Ich will folgende Punkte erfahren. Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen, es reicht dabei aber nicht nur aus zu wissen z.B. www.googel.de sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw. Was ich nicht wissen will sind Passwörter etc.
Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.

Das gleiche gilt natürlich auch für unser Netzwerk. Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc. Also eine Art Bewegungsprofil.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden. Das ganze braucht erstmal keine Beweislast bilden können, mir geht es in erster Linie darum einen fundierten Anhaltspunkt zu haben um weitere "professionelle" Schritte einzuleiten.

Derzeit erhalte ich über meinen Router Protokolle in Form von:

156.196.13.68 -> Web Forward -> www.googel.de | Schonmal nicht schlecht, aber weiterfolgende Klicks ewerden nicht angezeigt.

Im Netzwerk fehlt mir noch der Ansatz leider. Aber so in der Form wäre das Super. Hoffe da gibts was.
Mitglied: Pjordorf
Pjordorf 05.07.2012 um 16:20:50 Uhr
Goto Top
Hallo,

Zitat von @JollyJumper83:
Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen
Proxy

sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw.
Proxy

Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.
Proxy

Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc.
Windows Protokollierung Ordner und Dateiüberwachung. Liegt dann alles im Ereignisprotokoll. Achtung! Große Datenmengen in kürzester Zeit. Es gilt dann für alle Benutzer da es der Protokollierung "eine Protokollierung nach Benutzer oder Gruppen" wurscht ist. Filtern kannst du nur in der Ausgabe vom Ereignisprotokoll. Übersichtlich ist es im Standard nicht. Evtl. Zusatzsoftware (Drittanbieter auch) zur Analyse von EVT Logs etc. verwenden. Powershell kann dir auch helfen.
http://technet.microsoft.com/en-us/scriptcenter/dd919274.aspx
http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
http://www.tecchannel.de/server/windows/2032597/workshop_log_dateien_au ...
Es gibt auch jede menge Drittanbieter mit Software zur Analyse der Logs Dateien.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden.
Alles oben genannte ist Serverseitig

Derzeit erhalte ich über meinen Router Protokolle in Form von:
Dir ist schon klar das es fast genauso viele verschiedene Routermodelle wie Automodelle gibt. Und wie bei den Autos, sind alle irgendwie anders. Wenn du also auf ein "mach doch dies in deinem Router" hoffst, muss ich dich enttäuschen. Meine Inventarisierungssoftware streikt geradeface-smile


156.196.13.68 -> Web Forward -> www.googel.de
Was habt ihr für IPs in eurem Lokalen Netz? Jeder nutzt doch irgendwie die gleichen IPs der privaten ranges, oder?face-smile

Im Netzwerk fehlt mir noch der Ansatz leider.
Dann gibt es noch gezielt die Software welches alles vom Benutzer mitprotokolliert. In Europa eher nicht zu finden.

Als Proxy kann auch eine UTM herhalten. Astaro (jetzt Sophos) hat da auch etwas.
http://www.sophos.com/de-de/products/unified/utm/licensing.aspx

Gruß,
Peter
Mitglied: JollyJumper83
JollyJumper83 09.07.2012 um 10:14:56 Uhr
Goto Top
Soooo ersteinmal vielen Dank für die Antworten.
Wir haben uns jetzt doch am Samstag entschieden, dass ganze unserem Anwalt zu übergeben und haben zeitgleich auch die Polizei eingeschaltet. Was mich sehr überraschte, ca. eine Std. nach dem Gespräch im Betrugsdezernat, war ein Spezialist für Datengruppe vor unserer Firmentür. Er hat alle relevanten Inforamtionen eingesehen und konnte auch gleich eine Beurteilung verlauten lassen.

Nur soviel, der Mitarbeiten wurde heute fristlos entlassen, da er Firmeninternas an das Mitbewerb weitergegeben hat. Das ging jetzt doch alles sehr schnell, hatte ich nicht erwartet, zumal er auch vollends getändig war. Für Ihn, so habe ich mir von meinem Anwalt sagen lassen, könnte das Ganze böse enden - da es für Datenklau u. Weitergabe von Firmengeheimnisse strafrechtlich hohe Strafen gibt. Mal sehen was so passiert, für uns hällt sich der Schaden zum Glück noch im Rahmen und wie weit wir den Herrn belasten wollen, muss ich mir noch überlegen. Hätte man mir das vor einem Jahr gesagt, hätte ich meine Hand dafür in Feuer gelegt das das nicht stimmt. So kann man sich in Menschen täuschen. Traurig aber wahr.

Der Beitrag ist somit, zumindest rechtlich gesehen, gelöst! face-smile