16
Detaillierte Überwachung eines AD Nutzers
Guten Morgen Kollegen,
folgendes Problem.
Wir haben einen Mitarbeiter mit etwas höheren Rechten in der IT Infrastruktur der bei der Geschäftsleitung in Ungnade gefallen ist.
Nun möchte die Geschäftsleitung das alle Aktivitäten dieses Users irgendwie protokolliert werden.
Die Protokollierung soll folgendes speichern:
- Wann hat sich der User an welchen Systemen angemeldet
- (optional) Was genau hat er an diesen Systemen dann getan
Zusätzlich noch eine andere Anforderung.
Die GL möchte ein Powershell Script oder ähnliches haben mit dem wir Kenntnis dafür erlangen wenn der besagte Mitarbeiter sich Zugriff auf die Mailkonten der GL verschafft. Sprich er hat auf dem Exchange Administrative Rechte und könnte sich jederzeit Vollzugriff auf bestimmte Mailboxen geben.
Klar könnten wir die Rechte einschränken aber wir wollen eher wissen ob der Mitarbeiter verbotenes, wie z.b. mitlesen von Mails der Chefs, mit den Rechten macht.
Ich danke schon einmal für eure Antworten.
folgendes Problem.
Wir haben einen Mitarbeiter mit etwas höheren Rechten in der IT Infrastruktur der bei der Geschäftsleitung in Ungnade gefallen ist.
Nun möchte die Geschäftsleitung das alle Aktivitäten dieses Users irgendwie protokolliert werden.
Die Protokollierung soll folgendes speichern:
- Wann hat sich der User an welchen Systemen angemeldet
- (optional) Was genau hat er an diesen Systemen dann getan
Zusätzlich noch eine andere Anforderung.
Die GL möchte ein Powershell Script oder ähnliches haben mit dem wir Kenntnis dafür erlangen wenn der besagte Mitarbeiter sich Zugriff auf die Mailkonten der GL verschafft. Sprich er hat auf dem Exchange Administrative Rechte und könnte sich jederzeit Vollzugriff auf bestimmte Mailboxen geben.
Klar könnten wir die Rechte einschränken aber wir wollen eher wissen ob der Mitarbeiter verbotenes, wie z.b. mitlesen von Mails der Chefs, mit den Rechten macht.
Ich danke schon einmal für eure Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 283005
Url: https://administrator.de/contentid/283005
Printed on: April 23, 2024 at 20:04 o'clock
16 Comments
Latest comment
Guten Morgen!
Das klingt für mich schon fast nach einem digitalen Bewegungsprofil, was Datenschutzrechtlich eigentlich bedenklich ist.
Mit sowas würdet ihr euch eher selbst "angreifbar" machen.
Es sei denn:
In jedem Unternehmen, in dem Mitarbeiter IT nutzen, sollte es eine IT-Sicherheitsbelehrung geben, in dem auch der Part Datenschutz und Monitoring zur Sprache kommt. Habt ihr Etwaiges darin mit verankert, und der Mitarbeiter diese auch unterschrieben, könnt doch entsprechende Monitoringsoftware nutzen und auf besagten UserAcc filtern.
Davon mal abgesehen, wäre mir meine IT (-Sicherheit) als Geschäftsführer wesentlich wichtiger, als dieser eine Mitarbeiter!
Wenn das Vertrauen belastet ist (irgendwie muss es ja dazu gekommen sein), dann empfehle ich die Rechte zu entziehen!
Wenn ihr diesen MA unbedingt loswerden wollt, gibt es genug andere (legale) Mittel und Wege...
Liebe Grüße,
Dennis G.
Das klingt für mich schon fast nach einem digitalen Bewegungsprofil, was Datenschutzrechtlich eigentlich bedenklich ist.
Mit sowas würdet ihr euch eher selbst "angreifbar" machen.
Es sei denn:
In jedem Unternehmen, in dem Mitarbeiter IT nutzen, sollte es eine IT-Sicherheitsbelehrung geben, in dem auch der Part Datenschutz und Monitoring zur Sprache kommt. Habt ihr Etwaiges darin mit verankert, und der Mitarbeiter diese auch unterschrieben, könnt doch entsprechende Monitoringsoftware nutzen und auf besagten UserAcc filtern.
Davon mal abgesehen, wäre mir meine IT (-Sicherheit) als Geschäftsführer wesentlich wichtiger, als dieser eine Mitarbeiter!
Wenn das Vertrauen belastet ist (irgendwie muss es ja dazu gekommen sein), dann empfehle ich die Rechte zu entziehen!
Wenn ihr diesen MA unbedingt loswerden wollt, gibt es genug andere (legale) Mittel und Wege...
Liebe Grüße,
Dennis G.
Guten Morgen Dennis,
eine entsprechende Belehrung gab es natürlich.
Wie oben bereits erwähnt ist uns wohl bewusst das wir auch einfach die Rechte entziehen könnten.
Es geht jedoch um eine Art Bewährungszeit. Der Mitarbeiter ist darauf hingewiesen worden was er darf und was nicht.
Uns geht es jetzt um die Kontrolle der Einhaltung dieser Richtlinien.
Viele Grüße
Sascha
eine entsprechende Belehrung gab es natürlich.
Wie oben bereits erwähnt ist uns wohl bewusst das wir auch einfach die Rechte entziehen könnten.
Es geht jedoch um eine Art Bewährungszeit. Der Mitarbeiter ist darauf hingewiesen worden was er darf und was nicht.
Uns geht es jetzt um die Kontrolle der Einhaltung dieser Richtlinien.
Viele Grüße
Sascha
Hallo Sascha,
in diesem Fall könnte es allerdings noch in Richtung Arbeitskontrolle laufen, was wiederum verboten ist.
Das ist eine ganz schöne grau Zone.
Letztendlich dürftest du die Daten nur Auswerten, wenn etwas Passiert ist.
So wie ich das hier allerdings lese, wollt Ihr über eine Längere Zeit Auswertungen betreiben, das ist in meinen Augen bedenklich.
in diesem Fall könnte es allerdings noch in Richtung Arbeitskontrolle laufen, was wiederum verboten ist.
Das ist eine ganz schöne grau Zone.
Letztendlich dürftest du die Daten nur Auswerten, wenn etwas Passiert ist.
So wie ich das hier allerdings lese, wollt Ihr über eine Längere Zeit Auswertungen betreiben, das ist in meinen Augen bedenklich.
Hallo Pago,
wir wollen eigentlich keine Auswertungen betreiben.
Wir wollen lediglich darüber informiert werden wenn der Mitarbeiter doch seine Kompetenzen überschreitet und z.b. seinem Konto Vollzugriff auf das Postfach seines Vorgesetzten gibt etc.
Und die bloße Anmeldung bzw. Abmeldung an einem System zu protokollieren ist meiner Meinung nach keine Arbeitskontrolle.
Wie gesagt der punkt mit dem WAS er da gemacht hat ist optional. Der muss nicht sein.
Es geht hauptsächlich darum das wir prüfen können ob dieser Mitarbeiter Systeme nur betritt wenn er den Auftrag dazu bekommt oder auch so rein schaut.
ich sollte dazu noch erwähnen das dieser Mitarbeiter nicht in unserer Firma angestellt ist sondern bei einem externen Dienstleister falls dies relevant ist.
wir wollen eigentlich keine Auswertungen betreiben.
Wir wollen lediglich darüber informiert werden wenn der Mitarbeiter doch seine Kompetenzen überschreitet und z.b. seinem Konto Vollzugriff auf das Postfach seines Vorgesetzten gibt etc.
Und die bloße Anmeldung bzw. Abmeldung an einem System zu protokollieren ist meiner Meinung nach keine Arbeitskontrolle.
Wie gesagt der punkt mit dem WAS er da gemacht hat ist optional. Der muss nicht sein.
Es geht hauptsächlich darum das wir prüfen können ob dieser Mitarbeiter Systeme nur betritt wenn er den Auftrag dazu bekommt oder auch so rein schaut.
ich sollte dazu noch erwähnen das dieser Mitarbeiter nicht in unserer Firma angestellt ist sondern bei einem externen Dienstleister falls dies relevant ist.
Moin,
ich sollte dazu noch erwähnen das dieser Mitarbeiter nicht in unserer Firma angestellt ist sondern bei einem externen Dienstleister falls dies relevant ist.
Dann wäre doch wohl zu allererst mit dem AG des externen Mitarbeiters zu sprechen.
Gruß
Uwe
ich sollte dazu noch erwähnen das dieser Mitarbeiter nicht in unserer Firma angestellt ist sondern bei einem externen Dienstleister falls dies relevant ist.
Dann wäre doch wohl zu allererst mit dem AG des externen Mitarbeiters zu sprechen.
Gruß
Uwe
1
Moin,
das ist ebenfalls schon längst erledigt.
Wie gesagt es geht mir jetzt um die Umsetzung nicht um die rechtlichen Rahmenbedingungen.
Die sind alle geklärt und wir haben uns hier auch von einem Arbeitsrechtler beraten lassen.
Viele Grüße
Sascha
das ist ebenfalls schon längst erledigt.
Wie gesagt es geht mir jetzt um die Umsetzung nicht um die rechtlichen Rahmenbedingungen.
Die sind alle geklärt und wir haben uns hier auch von einem Arbeitsrechtler beraten lassen.
Viele Grüße
Sascha
Wenn es ein Externer MA ist, dann würde ich das Konto einfach nur Aktiv schalten, wenn er auch arbeiten soll.
Solange kein Auftrag vorliegt, hat er nichts auf den Systemen zu suchen und benötigt somit auch das Konto nicht!
An- und Abmeldung am System wird in den Windows Security-Logs mitgeloggt. Da kannst du dann sehen, wann er sich An- und Abgemeldet hat.
Weiterhin sollte ein externer MA nicht so viele Rechte bekommen, gerade dann, wenn es Sicherheitsbedenken gibt. Der externe sollte gerade die Berechtigungen bekommen, dass er seine Arbeit erledigen kann.
Lg Pago
Solange kein Auftrag vorliegt, hat er nichts auf den Systemen zu suchen und benötigt somit auch das Konto nicht!
An- und Abmeldung am System wird in den Windows Security-Logs mitgeloggt. Da kannst du dann sehen, wann er sich An- und Abgemeldet hat.
Weiterhin sollte ein externer MA nicht so viele Rechte bekommen, gerade dann, wenn es Sicherheitsbedenken gibt. Der externe sollte gerade die Berechtigungen bekommen, dass er seine Arbeit erledigen kann.
Lg Pago
Hallo
da jetzt alle Datenschutzaspekte diskutiert wurden: installiere dir Splunk oder ein ähnliches Tool als Testversion und lass diese die Security Logs der DC's und des Exchange einsammeln, darüber kannst das Filter in Form des Benutzernames setzen und bekommst die geforderten Daten.
Das ganze von Hand an dem DC's via Eventlog Filter ist eher eine mäßige Lösung
.
Gruß
@clSchak
da jetzt alle Datenschutzaspekte diskutiert wurden: installiere dir Splunk oder ein ähnliches Tool als Testversion und lass diese die Security Logs der DC's und des Exchange einsammeln, darüber kannst das Filter in Form des Benutzernames setzen und bekommst die geforderten Daten.
Das ganze von Hand an dem DC's via Eventlog Filter ist eher eine mäßige Lösung
.Gruß
@clSchak
https://www.manageengine.com/products/active-directory-audit/index.html? ...
ansonsten wäre interessant, welche Systeme du benutzt.
ansonsten wäre interessant, welche Systeme du benutzt.
Da würden sich die üblichen Rootkits dafür eigen, wie z.B. sowas. 
eifach auf dem PC des Mitarbeiters installieren und schon hatb Ihr einen Überblick was er so treibt.
lks
PS. Der Einsatz solcher Software hierzulande sollte mit einem Rechtsverdreher des Vertrauens abgesprochen sein, damit man nicht im Knast landet.
eifach auf dem PC des Mitarbeiters installieren und schon hatb Ihr einen Überblick was er so treibt. lks
PS. Der Einsatz solcher Software hierzulande sollte mit einem Rechtsverdreher des Vertrauens abgesprochen sein, damit man nicht im Knast landet.
Zitat von @Pago159:
https://www.manageengine.com/products/active-directory-audit/index.html? ...
ansonsten wäre interessant, welche Systeme du benutzt.
https://www.manageengine.com/products/active-directory-audit/index.html? ...
ansonsten wäre interessant, welche Systeme du benutzt.
Der Anbieter liefert auch einen Log-Collector, das AD Audit Tool ist nett, aber nur fürs AD. Ein Eventlog-Collector wird dir bessere Ergebnisse liefern.
@lks
ne ich denke nicht, der wird sich an verschiedenen Systemen anmelden und ggf. remote wenn es ein externer Dienstleister ist
Woah jetzt ging es schnell :P
Danke vielmals Leute.
Ja genau so ein Tool das mir die Logs durchgeht habe ich gesucht.
Ja er kommt in der tat remote per VPN rein.
Damit sollte ich weiter kommen. Ich werde euch berichten ob es klappt^^
Danke vielmals Leute.
Ja genau so ein Tool das mir die Logs durchgeht habe ich gesucht.
Ja er kommt in der tat remote per VPN rein.
Damit sollte ich weiter kommen. Ich werde euch berichten ob es klappt^^
Hi,
beim Exchange die Audit-Funktion einschalten. Benachrichtigt euch nicht und ihr müßt manuell nachschauen, sollte aber exakt für diesen Zweck ausreichend seind.
Grüße Oli
beim Exchange die Audit-Funktion einschalten. Benachrichtigt euch nicht und ihr müßt manuell nachschauen, sollte aber exakt für diesen Zweck ausreichend seind.
Grüße Oli
Zitat von @114380:
beim Exchange die Audit-Funktion einschalten. Benachrichtigt euch nicht und ihr müßt manuell nachschauen, sollte aber exakt für diesen Zweck ausreichend seind.
Jup, kann man ebenfalls in den Eventlogs (Anwendungs- und Dienstprotokolle) finden:beim Exchange die Audit-Funktion einschalten. Benachrichtigt euch nicht und ihr müßt manuell nachschauen, sollte aber exakt für diesen Zweck ausreichend seind.
http://www.agix.com.au/exchange-audit-full-access-permission-on-mailbox ...
Einfach einen Eventlog-Trigger setzen und sich benachrichtigen lassen was der User so anstellt.
Z.B. kann man mit diesem Filter alle Einträge finden bei denen er mit Add-MailboxPermission gearbeitet hat:
<QueryList>
<Query Id="0" Path="MSExchange Management">
<Select Path="MSExchange Management">*[System[Provider[@Name='MSExchange CmdletLogs']] and EventData[Data[1] = 'Add-MailboxPermission']]</Select>
</Query>
</QueryList>
Dann noch ein kleiner Tipp:
Ich hoffe ihr habt einen Vertrag zur Auftragsdatenverarbeitung nach §11 BDSG mit dem Dienstleister
https://www.bfdi.bund.de/bfdi_wiki/index.php/Auftragsdatenverarbeitung
Ich hoffe ihr habt einen Vertrag zur Auftragsdatenverarbeitung nach §11 BDSG mit dem Dienstleister
https://www.bfdi.bund.de/bfdi_wiki/index.php/Auftragsdatenverarbeitung
hallo, was müsste dem MA schriftlich in die Hand gelegt werden um rechtlich abgesichert zu sein in einem solchen Fall?
