Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Analyse nach Datenklau

Frage Microsoft Windows Tools

Mitglied: BergEnte

BergEnte (Level 1) - Jetzt verbinden

28.09.2014, aktualisiert 17:38 Uhr, 3332 Aufrufe, 5 Kommentare

Hallo Admin Forum,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.

Vielen Dank!
Alex
Mitglied: broecker
28.09.2014 um 17:45 Uhr
Moin,
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
Bitte warten ..
Mitglied: colinardo
28.09.2014, aktualisiert um 17:51 Uhr
Moin,
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2014 um 17:54 Uhr
DEFT und DART sind zwei forensische Toolsammlungen mit denen man nachvollziehen kann, wann auf welchze Dateien zugegriffen wurde, sofern diese Daten nicht gelöscht wurden.

lk
Bitte warten ..
Mitglied: Dobby
30.09.2014 um 15:47 Uhr
Hallo,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Wahrscheinlich ist immer so eine Sache, nachschauen kann man sicherlich so wie Mark es schon
angesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.

Der Vorfalll ist allerding bereits 3 Wochen her.
Nun ja das kann man so oder so sehen, wenn vor drei Wochen ein USB Stick eingesteckt
worden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!

Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Man kann gewisse Sachen feststellen, nur das sollte immer sofort und danach erfolgen, sonst
kann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.

Gruß
Dobby


Hinweis
Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
Bitte warten ..
Mitglied: BergEnte
12.10.2014 um 16:35 Uhr
Danke für Eure Feedback!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Netzwerk Analyse (9)

Frage von Tooobii zum Thema LAN, WAN, Wireless ...

Microsoft Office
Fahrer Analyse Tabelle (Palletenzeit pro, min.) in EXCEL13 (3)

Frage von kluthi69 zum Thema Microsoft Office ...

Viren und Trojaner
Analyse einer Spammail mit Schadcode (3)

Link von Knorkator zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Firewall
Richtige Grundeinstellungen der Pfsense für mein Netzwerk (14)

Frage von Spitzbube zum Thema Firewall ...

Switche und Hubs
gelöst Cisco 2960x Stacking über mehrere Etagen (12)

Frage von b3scher zum Thema Switche und Hubs ...