Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Überprüfung des Netzwerks nach Encase und ähnlichen Konsorten

Frage Microsoft Windows Netzwerk

Mitglied: Hampek

Hampek (Level 1) - Jetzt verbinden

16.09.2009 um 08:05 Uhr, 5008 Aufrufe, 3 Kommentare

Hallo Leute,

wollte mir hier gerne Anregungen und Ideen holen...

Wir müssen unser Netz nach verdächtiger Software wie Encase etc. überprüfen. Da unser Mutterkonzern amerikanisch ist besteht der Verdacht, dass die bei uns verdächtige Software im geheimen ausrollen!

Die erste Idee war sich einen oder mehrere Clients auszusuchen und den Netztraffic mit Wireshark zu scannen. Ist das ein guter Ansatz? Hat jemand so etwas schon gemacht? Vielleicht gibt es entsprechende Seiten im Internet, wo ich mehr darüber lesen könnte.

Was gibt es da denn noch für Möglichkeiten?

Ich wäre für jede Anregung sehr dankbar! Vielen Dank!

Grüße,
Hampek
Mitglied: Iwan
16.09.2009 um 08:39 Uhr
nur so als Info nebenbei:
Es darf auf einem Arbeitsplatzrechner eingesetzt werden, wenn:
- laut Betriebsvereinbarung private Nutzung des PC verboten ist
- eine private Nutzung auch stillschweigend nie geduldet wurde
- ein hinreichender und begründeter Verdacht vorliegt, dass der PC für betriebsfremde Aufgaben missbraucht wurde
- der Betriebsrat dem Einsatz zugestimmt hat
oder wenn der Arbeitnehmer der Verwendung z.B. zum Zweck der Rettung verlorener Dateien ausdrücklich zugestimmt hat

In allen anderen Fällen ist der Einsatz des Programmes (zumindest in Deutschland) illegal.
Bitte warten ..
Mitglied: Gagarin
16.09.2009 um 08:41 Uhr
Hallo!

Es ja immer wieder interessant welche Ängste der Einsatz von EnCase auslösen kann.

Mir stellt sich als erstes die Frage ob überhaupt die Berechtigung vorliegt den Datenverkehr zu protokolieren. Das kann unter umständen eine strafbare Handlung darstellen.

Was löst den deine Befürchtung aus das EnCase im geheimen ausgerollt worden sein kann? Nur weil der Mutterkonzern amerikanisch ist?
Desweiteren ist es ja erst einmal die Sache des Unternehmens welche Software installiert ist. Auch wäre der Einsatz von EnCase, in dem vom Gesetzgeber gesteckten Rahmen, keinesfalls problematisch.

BTW:

EnCase Enterprise besteht vereinfacht dargestellt aus drei Komponenten:


1.) Examiner
2.) SAFE
3.) Servlet



Zu 1.) Ist das System das an dem der Forensic Specialist arbeitet
Zu 2.) ist das Serversystem welches die Kommunikation zwischen den anderen System managed und den ausstausch der Schluessel gewaehrleistet
Zu 3.) Ist ein ca. 400 KB groesses Programm welches den Examiner den Zugriff auf die Daten des System erlaubt. Dieses kann so installiert werden ohne das der Nutzer es bemerkt.



Wie kann man nun den Einsatz von EnCase in einer Enterprise Umgebung festellen?



1.) Auf jeden System auf dem ein Servlet installiert ist muss ein Port geöffnet sein. Selbiger sollte für alle Systeme gleich sein.
2.) Mit einem Sniffer könnte eine kryptierte Verbindung zwischen Examiner und Servlet oder zwischen Examiner/SAFE und SAFE/Servlet festgestellt werden.
Bitte warten ..
Mitglied: Hampek
16.09.2009 um 08:44 Uhr
Hallo!

Danke für die Antwort...

Das es illegal ist ist es uns schon klar. Es ist eben unser Security Manager mit dem Betriebsrat, die die Überpfüfung auf die verdächtige Software veranlassen wollen.

Es ist schon nämlich vorgekommen, dass das Mutterkonzern "versehentlich" Encase ausgerollt hat!!!

Also die Diskussion brauchen wir nicht anzufangen, wie das rechtlich aussieht... In den USA wird das einwenig lockerer gesehen!

Grüße,

Hampek
Bitte warten ..
Ähnliche Inhalte
ISDN & Analoganschlüsse
gelöst Ähnliche Geräte wie Bintec RT1202 (3)

Frage von OVONEL zum Thema ISDN & Analoganschlüsse ...

Backup
TimeMachine ähnliches Backup unter Windows gesucht (10)

Frage von diwaffm zum Thema Backup ...

VB for Applications
gelöst EXCEL Macro oder ähnliches gesucht (3)

Frage von reissaus73 zum Thema VB for Applications ...

Grafikkarten & Monitore
gelöst 2 Monitore auf einem "simulieren" oder so ähnlich (3)

Frage von jayjay0911 zum Thema Grafikkarten & Monitore ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (12)

Frage von jensgebken zum Thema Windows Server ...

Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...