14
Exchangeserver-Windowsserver Zugriffe Protokoll? Vor Fremdzugriffe schützen!
Hi Leute,
ich brauch da mal einen Expertenrat von Euch.
Mich hat gerade ein Kollege angerufen, die folgendes Problem haben:
Anfang des Jahres wurde der Geschäftsführer fristlos entlassen, der Admin in dem kleinen Betrieb ist ein guter Freund vom entlassenen Geschäftsführer.
Jetzt kam immer mal wieder die Situation auf, dass der ehemalige Geschäftsführer Details wusste die er eigentlich gar nicht wissen sollte/drüfte. Daher der Verdacht dass er evtl. Emails mitlesen könnte.
Jetzt ist die Frage wie man so etwas am schnellsten/einfachsten evtl. sogar nachweisen könnte?
Es gibt wohl auf der Homepage einen Weblogin zum Outlook Exchangeservice. Und einen VPN Tunnel worüber sich der Admin auf dem System einloggen kann. Ich habe leider bisher nix mit Exchange gemacht, geh aber davon aus dass der Admin alle Mails + Passwörter direkt am Server lesen könnte?
Was für Protokolle und wo werden bei solchen Zugriffen geschrieben? Man müsste doch sehen können wenn sich jemand über VPN verbindet, oder sogar auf eine Emailadresse zugreift oder?
ich brauch da mal einen Expertenrat von Euch.
Mich hat gerade ein Kollege angerufen, die folgendes Problem haben:
Anfang des Jahres wurde der Geschäftsführer fristlos entlassen, der Admin in dem kleinen Betrieb ist ein guter Freund vom entlassenen Geschäftsführer.
Jetzt kam immer mal wieder die Situation auf, dass der ehemalige Geschäftsführer Details wusste die er eigentlich gar nicht wissen sollte/drüfte. Daher der Verdacht dass er evtl. Emails mitlesen könnte.
Jetzt ist die Frage wie man so etwas am schnellsten/einfachsten evtl. sogar nachweisen könnte?
Es gibt wohl auf der Homepage einen Weblogin zum Outlook Exchangeservice. Und einen VPN Tunnel worüber sich der Admin auf dem System einloggen kann. Ich habe leider bisher nix mit Exchange gemacht, geh aber davon aus dass der Admin alle Mails + Passwörter direkt am Server lesen könnte?
Was für Protokolle und wo werden bei solchen Zugriffen geschrieben? Man müsste doch sehen können wenn sich jemand über VPN verbindet, oder sogar auf eine Emailadresse zugreift oder?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206598
Url: https://administrator.de/contentid/206598
Printed on: April 24, 2024 at 06:04 o'clock
14 Comments
Latest comment
Hallo speedy26gonzales,
direkt mitlesen kann der Admin die Mails nicht, genausowenig kann er Passwörter aus Windows auslesen.
Er kann aber:
- sich Vollzugriff auf jedes Postfach verschaffen
- Journaling einrichten, so dass alle Nachrichten zentral protokolliert werden (abhängig von der Exchange Version)
- mit Transportregeln einen BCC zu allen Nachrichten hinzufügen
Wenn ihr administrativen Zugriff auf den Exchange habt könnt ihr ja nachsehen was da alles eingerichtet ist.
Wo es schwierig wird, ist, wenn er sich temporär Vollzugriff auf ein Postfach verschafft und die Nachrichten ausdruckt oder exzerpiert.
Mit der Nachrichtenverfolgung könnt ihr sehen was, wann und an wen geschickt wurde ggfs. mit Betreffzeile.
Man kann auf Exchange ab 2010 eine Adminprotokollierung einrichten, so dass alle von Admins aufgerufenen cmdlets protokolliert werden. Das kann man natürlich auch wieder abschalten
Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Gruß,
gemini
direkt mitlesen kann der Admin die Mails nicht, genausowenig kann er Passwörter aus Windows auslesen.
Er kann aber:
- sich Vollzugriff auf jedes Postfach verschaffen
- Journaling einrichten, so dass alle Nachrichten zentral protokolliert werden (abhängig von der Exchange Version)
- mit Transportregeln einen BCC zu allen Nachrichten hinzufügen
Wenn ihr administrativen Zugriff auf den Exchange habt könnt ihr ja nachsehen was da alles eingerichtet ist.
Wo es schwierig wird, ist, wenn er sich temporär Vollzugriff auf ein Postfach verschafft und die Nachrichten ausdruckt oder exzerpiert.
Mit der Nachrichtenverfolgung könnt ihr sehen was, wann und an wen geschickt wurde ggfs. mit Betreffzeile.
Man kann auf Exchange ab 2010 eine Adminprotokollierung einrichten, so dass alle von Admins aufgerufenen cmdlets protokolliert werden. Das kann man natürlich auch wieder abschalten
Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Gruß,
gemini
Hi gemini,
Danke für deine Antworten.
Danke für deine Antworten.
direkt mitlesen kann der Admin die Mails nicht, genausowenig kann er Passwörter aus Windows auslesen
Ok, ich dachte immer die PWs kann man sich regenerieren und somit auslesen, denn sobald ich ein Passwort weiß kann ich mich ja auf dem Webaccess damit anmelden. Werden die PWs nicht in einer Datenbank gespeichert?Journaling einrichten, so dass alle Nachrichten zentral protokolliert werden (abhängig von der Exchange Version)
Bedeutet dann soviel, dass quasi eine Kopie in einer Datei abgelegt wird?Mit der Nachrichtenverfolgung könnt ihr sehen was, wann und an wen geschickt wurde ggfs. mit Betreffzeile.
Wird das immer protokolliert?Wenn ihr administrativen Zugriff auf den Exchange habt könnt ihr ja nachsehen was da alles eingerichtet ist.
Ist vorhanden, kannst Du sagen wo man direkt schauen muss, damit nicht lange gesucht werden muss.Wo es schwierig wird, ist, wenn er sich temporär Vollzugriff auf ein Postfach verschafft und die Nachrichten ausdruckt oder exzerpiert.
Ist dann so gemeint wie oben? Dass er sich direkt auf dem Postfach einloggt?Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Jap stimmt, allerdings sollte es ja Protokolle geben wann von wo darauf zugegriffen wird?
Hi.
Vielleicht ist ganz banal vergessen worden, das Konto des ehemaligen GFs zu sperren? Wenn er von remote noch rein kommt, dann kann er vermutlich weiterhin ggf. damals für ihn freigegebene Postfächer mitlesen. Einfach mal sein Konto sperren und parallel dazu im AD überwachen, ob es noch benutzt wird (Attribut: lastlogin).
Vielleicht ist ganz banal vergessen worden, das Konto des ehemaligen GFs zu sperren? Wenn er von remote noch rein kommt, dann kann er vermutlich weiterhin ggf. damals für ihn freigegebene Postfächer mitlesen. Einfach mal sein Konto sperren und parallel dazu im AD überwachen, ob es noch benutzt wird (Attribut: lastlogin).
> Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Jap stimmt, allerdings sollte es ja Protokolle geben wann von wo darauf zugegriffen wird?
Jap stimmt, allerdings sollte es ja Protokolle geben wann von wo darauf zugegriffen wird?
ja - und als (guter) Admin mit Vollzugriff (?) sollte er all diese auch löschen/modifizieren können
- daher, wenn jetzt z.B. auch finanzielle/rechtliche Auseinandersetzung noch da ist, extern überprüfen und absichern lassen,
der Admin kann dann vielleicht später wieder übernehmen?
HG
Mark
Hallo,
oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.
Wenn eine Mailarchivierung eingesetzt wird, hat der evtl dort noch Zugriff.
Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt
(Forum)
Gruß
Chonta
oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.
Wenn eine Mailarchivierung eingesetzt wird, hat der evtl dort noch Zugriff.
Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt
(Forum)Gruß
Chonta
Zitat von @speedy26gonzales:
Ich hab ihm empfohlen den Admin zu wechseln, allerdings würden sie gern rausfinden ob der Verdacht wirklich berichtigt ist.
Moment,Ich hab ihm empfohlen den Admin zu wechseln, allerdings würden sie gern rausfinden ob der Verdacht wirklich berichtigt ist.
Du hast keine-ahnung. Von nüscht! Und empfiehlst Irgendjemanden aufgrund Deiner Nullkenntnisse einen anderen Irgendjemand zu entlassen?
Daumen runter, Freundchen ...
Mahlzeit
Sehr oft ist es doch so, dass ehemalige Mitarbeiter die Passwörter von Kollegen oder Vorgesetzten kennen und sich mit diesen via OWA anmelden oder die Mails auf ihr Eiertelephone pushen.
Wurden denn, seit dieser GF nicht mehr da ist, alle Passwörter gewechselt?
Zitat von @Chonta:
oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.
Dann markiert er diese wieder als ungelesen. auch gilt das immer pro Benutzer.oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.
Wenn eine Mailarchivierung eingesetzt wird, hat der evtl dort noch Zugriff.
Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt (Forum)
Ich würde gar nocht so weit ausholen.Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt
(Forum)Sehr oft ist es doch so, dass ehemalige Mitarbeiter die Passwörter von Kollegen oder Vorgesetzten kennen und sich mit diesen via OWA anmelden oder die Mails auf ihr Eiertelephone pushen.
Wurden denn, seit dieser GF nicht mehr da ist, alle Passwörter gewechselt?
Ich hab ihm empfohlen den Admin zu wechseln, allerdings würden sie gern rausfinden ob der Verdacht wirklich berichtigt ist.
Hier teile ich die Meinung von @keine-ahnung. Wurden denn, seit dieser GF nicht mehr da ist, alle Passwörter gewechselt?
Ja wurden gewechselt. Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?Du hast keine-ahnung. Von nüscht! Und empfiehlst Irgendjemanden aufgrund Deiner Nullkenntnisse einen anderen Irgendjemand zu entlassen?
Stop, erst mal weise ich Deine Anschuldigung mit "keine Ahnung von nichts" zurück. Denn woher willst Du wissen wovon ich eine Ahnung habe. Ich würde Dir raten etwas über deine Ausdrucksweise nachzudenken "FREUNDCHEN". Und nicht dass hier was falsch verstanden wird. Der Admin macht das nebenher und wohl noch aus alten "gefallen" Zeiten zum GF. Er ist dort nicht Hauptberuflich angestellt. Und ehrlich gesagt sehe ich in der Sache ein Problem, wenn rechtliche Schritte am laufen sind und der Admin ein Freund des "Vertriebenen" ist.
Hmm, mal sehen. Nächste Frage?
Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?
Ach ja. Vermutlich leite ich das aus Deinen Fragen ab??Zitat von @keine-ahnung:
> Zitat von @speedy26gonzales:
> ----
> Denn woher willst Du wissen wovon ich eine Ahnung habe.
Hmm, mal sehen. Nächste Frage?
> Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?
Ach ja. Vermutlich leite ich das aus Deinen Fragen ab??
> Zitat von @speedy26gonzales:
> ----
> Denn woher willst Du wissen wovon ich eine Ahnung habe.
Hmm, mal sehen. Nächste Frage?
> Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?
Ach ja. Vermutlich leite ich das aus Deinen Fragen ab??
Einen konstruktiven Beitrag zum eigentlichen Thema kannst Du wohl nicht leisten? Dann lass es bitte.
Wenn Du ein Problem hast schreib ne PM, aber Müll hier nicht den Thread zu! Danke
Hi,
dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9
Der Exchange nutzt die User und Pw von der AD.
Verabschiede dich vom Gedanken da irgendwas auszulesen.
Hole dir am besten Hilfe von außerhalb. Am besten jemanden der das auch wirklich kann/ beherrscht.
Dann seit ihr dem Übeltäter schnell auf der Spur.
Schönes Wochenende....es ist ja mal wieder Freitag......
Gruß Eumel
dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9
Der Exchange nutzt die User und Pw von der AD.
Verabschiede dich vom Gedanken da irgendwas auszulesen.
Hole dir am besten Hilfe von außerhalb. Am besten jemanden der das auch wirklich kann/ beherrscht.
Dann seit ihr dem Übeltäter schnell auf der Spur.
Schönes Wochenende....es ist ja mal wieder Freitag......
Gruß Eumel
Zitat von @eumel1979:
Hi,
dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9
Hi,
dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9
Danke für deinen Beitrag. Deswegen hab ich im ersten Beitrag geschrieben: " Ich habe leider bisher nix mit Exchange gemacht".
Aber klar, ich muss ja davon ausgesehen dass es in der IT welche gibt, die wirklich alles vom Anfang bis Ende beherrschen.
Und wenn mal einer kommt der sich nicht mit jedem Thema bis ins Detail auskennt hat er gleich keine Ahnung. Das ist wohl die
heutige Gesellschaft.
Hi,
natürlich gibt es solche. Aber Ob du schon mit Exchange gemacht hast oder nicht ist ja nicht relevant.
Bei deiner Aufgabenstellung hätte ich mich eben flux rudimentär eingelesen in Exchange. Dann wäre die Frage nach dem Speicherort erledigt gewesen.
Sei es drum. Such dir Hilfe von extern der auch keine Verwicklungen mit dem Unternehmen hat.
Gruß Eumel
natürlich gibt es solche. Aber Ob du schon mit Exchange gemacht hast oder nicht ist ja nicht relevant.
Bei deiner Aufgabenstellung hätte ich mich eben flux rudimentär eingelesen in Exchange. Dann wäre die Frage nach dem Speicherort erledigt gewesen.
Sei es drum. Such dir Hilfe von extern der auch keine Verwicklungen mit dem Unternehmen hat.
Gruß Eumel
Bei deiner Aufgabenstellung hätte ich mich eben flux rudimentär eingelesen in Exchange
Wird parallel gemacht, bzw. ein Exchange aufgesetzt um es sich anzuschauen.Leider hat es eben gestern nicht mehr dazu gereicht, deswegen ja der Thread hier, weil ich
eben davon ausging dass hier Profis sitzen die sich bis ins Detail auskennen.
Sei es drum. Such dir Hilfe von extern der auch keine Verwicklungen mit dem Unternehmen hat.
Sowas ist geplant. Es sollte einfach vorab schon paar Infos eingeholt werden.
