Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Analyse nach Datenklau

Frage Microsoft Windows Tools

Mitglied: BergEnte

BergEnte (Level 1) - Jetzt verbinden

28.09.2014, aktualisiert 17:38 Uhr, 2503 Aufrufe, 5 Kommentare

Hallo Admin Forum,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.

Vielen Dank!
Alex
Mitglied: broecker
28.09.2014 um 17:45 Uhr
Moin,
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
Bitte warten ..
Mitglied: colinardo
28.09.2014, aktualisiert um 17:51 Uhr
Moin,
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2014 um 17:54 Uhr
DEFT und DART sind zwei forensische Toolsammlungen mit denen man nachvollziehen kann, wann auf welchze Dateien zugegriffen wurde, sofern diese Daten nicht gelöscht wurden.

lk
Bitte warten ..
Mitglied: Dobby
30.09.2014 um 15:47 Uhr
Hallo,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Wahrscheinlich ist immer so eine Sache, nachschauen kann man sicherlich so wie Mark es schon
angesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.

Der Vorfalll ist allerding bereits 3 Wochen her.
Nun ja das kann man so oder so sehen, wenn vor drei Wochen ein USB Stick eingesteckt
worden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!

Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Man kann gewisse Sachen feststellen, nur das sollte immer sofort und danach erfolgen, sonst
kann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.

Gruß
Dobby


Hinweis
Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
Bitte warten ..
Mitglied: BergEnte
12.10.2014 um 16:35 Uhr
Danke für Eure Feedback!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
Fahrer Analyse Tabelle (Palletenzeit pro, min.) in EXCEL13 (3)

Frage von kluthi69 zum Thema Microsoft Office ...

Entwicklung
Eine Analyse-csv via Powershell in Sharepoint exportieren? (2)

Frage von Scuzzy zum Thema Entwicklung ...

Windows Server
gelöst Unterstützung bei der Analyse - langsamer SQL Zugriff (6)

Frage von Sachellen zum Thema Windows Server ...

Monitoring
Welches Aufgabenlevel hat eine Fault Tree Analyse? (6)

Frage von Marabunta zum Thema Monitoring ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...