Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfung des Netzwerks nach Encase und ähnlichen Konsorten

Frage Microsoft Windows Netzwerk

Mitglied: Hampek

Hampek (Level 1) - Jetzt verbinden

16.09.2009 um 08:05 Uhr, 4961 Aufrufe, 3 Kommentare

Hallo Leute,

wollte mir hier gerne Anregungen und Ideen holen...

Wir müssen unser Netz nach verdächtiger Software wie Encase etc. überprüfen. Da unser Mutterkonzern amerikanisch ist besteht der Verdacht, dass die bei uns verdächtige Software im geheimen ausrollen!

Die erste Idee war sich einen oder mehrere Clients auszusuchen und den Netztraffic mit Wireshark zu scannen. Ist das ein guter Ansatz? Hat jemand so etwas schon gemacht? Vielleicht gibt es entsprechende Seiten im Internet, wo ich mehr darüber lesen könnte.

Was gibt es da denn noch für Möglichkeiten?

Ich wäre für jede Anregung sehr dankbar! Vielen Dank!

Grüße,
Hampek
Mitglied: Iwan
16.09.2009 um 08:39 Uhr
nur so als Info nebenbei:
Es darf auf einem Arbeitsplatzrechner eingesetzt werden, wenn:
- laut Betriebsvereinbarung private Nutzung des PC verboten ist
- eine private Nutzung auch stillschweigend nie geduldet wurde
- ein hinreichender und begründeter Verdacht vorliegt, dass der PC für betriebsfremde Aufgaben missbraucht wurde
- der Betriebsrat dem Einsatz zugestimmt hat
oder wenn der Arbeitnehmer der Verwendung z.B. zum Zweck der Rettung verlorener Dateien ausdrücklich zugestimmt hat

In allen anderen Fällen ist der Einsatz des Programmes (zumindest in Deutschland) illegal.
Bitte warten ..
Mitglied: Gagarin
16.09.2009 um 08:41 Uhr
Hallo!

Es ja immer wieder interessant welche Ängste der Einsatz von EnCase auslösen kann.

Mir stellt sich als erstes die Frage ob überhaupt die Berechtigung vorliegt den Datenverkehr zu protokolieren. Das kann unter umständen eine strafbare Handlung darstellen.

Was löst den deine Befürchtung aus das EnCase im geheimen ausgerollt worden sein kann? Nur weil der Mutterkonzern amerikanisch ist?
Desweiteren ist es ja erst einmal die Sache des Unternehmens welche Software installiert ist. Auch wäre der Einsatz von EnCase, in dem vom Gesetzgeber gesteckten Rahmen, keinesfalls problematisch.

BTW:

EnCase Enterprise besteht vereinfacht dargestellt aus drei Komponenten:


1.) Examiner
2.) SAFE
3.) Servlet



Zu 1.) Ist das System das an dem der Forensic Specialist arbeitet
Zu 2.) ist das Serversystem welches die Kommunikation zwischen den anderen System managed und den ausstausch der Schluessel gewaehrleistet
Zu 3.) Ist ein ca. 400 KB groesses Programm welches den Examiner den Zugriff auf die Daten des System erlaubt. Dieses kann so installiert werden ohne das der Nutzer es bemerkt.



Wie kann man nun den Einsatz von EnCase in einer Enterprise Umgebung festellen?



1.) Auf jeden System auf dem ein Servlet installiert ist muss ein Port geöffnet sein. Selbiger sollte für alle Systeme gleich sein.
2.) Mit einem Sniffer könnte eine kryptierte Verbindung zwischen Examiner und Servlet oder zwischen Examiner/SAFE und SAFE/Servlet festgestellt werden.
Bitte warten ..
Mitglied: Hampek
16.09.2009 um 08:44 Uhr
Hallo!

Danke für die Antwort...

Das es illegal ist ist es uns schon klar. Es ist eben unser Security Manager mit dem Betriebsrat, die die Überpfüfung auf die verdächtige Software veranlassen wollen.

Es ist schon nämlich vorgekommen, dass das Mutterkonzern "versehentlich" Encase ausgerollt hat!!!

Also die Diskussion brauchen wir nicht anzufangen, wie das rechtlich aussieht... In den USA wird das einwenig lockerer gesehen!

Grüße,

Hampek
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...