6
Zugriffe auf administrative Freigaben erkennen
Hallo liebe Admins,
folgende Aufgabenstellung habe ich (Admin in einer Firma) gerade:
Es gibt Benutzer in unserer Firma, die (berechtigten) Grund zur Annahme haben, dass ohne ihr Wissen und wahrscheinlich auch ohne genehmigten Anlaß auf lokal auf dem Rechner gespeicherte Daten zugegriffen wird (durch einen Admin).
Wie kann man den Zugriff protokollieren? Den aktiven Zugriff direkt aufzeigen lassen (um den Zugreifenden in flagranti) stellen zu können?
Umgebung ist wie folgt:
- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben
Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird
Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.
In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!
- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben
Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird
Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.
In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176458
Url: https://administrator.de/contentid/176458
Printed on: April 23, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hallo HarLeaQuinn,
nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:
In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.
sanixo
nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:
In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.
sanixo
Ja danke, ist mir bekannt (hätte ich erwähnen sollen).
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.
Aber: danke!
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.
Aber: danke!
Hi!
Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
moin,
naja - das wird schwer bis unmöglich...
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.
uiuiui...
Du kannst - theoretisch "maintain objects list" anwerfen und via
edit
Der localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
naja - das wird schwer bis unmöglich...
Windows-Domäne (2003)
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.
10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
Du kannst - theoretisch "maintain objects list" anwerfen und via
openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks erscheint....:start
ping -n 5 localhost>nul
openfiles |findstr /i /v "%username%">>abghjk.tmp
goto startDer localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so
konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
Werde ich mir mal anlesenkonfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit
findstr filtert und eine Aktion auslöst.
Scheint mit dem zu passen, was TimoBeil gerade geschrieben hatfindstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den
lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Ach an dem Thema (deaktivierung des lokalen Admins/ personalisierte DomAdmins haben wir) arbeite ich hier schon länger - auch wenn ich hoffe, dass kein Kollege hier Mist baut: Aber ein solcher Vorfall könnte mein Vorhaben untermauern und durchsetzen helfen!lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Danke!
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an
einem anderen Client Zeugs zieht?
So fleissig wird derjenige wohl nicht sein, sondern bestimmt eher von seinem AP aus.einem anderen Client Zeugs zieht?
> 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
JA! (siehe Bestreben zu "Abschaffung lokalesAdmin-Konto" oben...uiuiui...
Du kannst - theoretisch "maintain objects list" anwerfen und via
> openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über
den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks
erscheint....
> :start
> ping -n 5 localhorst>nul
> openfiles |findstr /i /v "%username%">>abghjk.tmp
> goto start
> Danke Euch beiden. ich markier das mal als "Gelöst"
