Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchangeserver-Windowsserver Zugriffe Protokoll? Vor Fremdzugriffe schützen!

Frage Microsoft Exchange Server

Mitglied: speedy26gonzales

speedy26gonzales (Level 1) - Jetzt verbinden

16.05.2013, aktualisiert 17.05.2013, 2842 Aufrufe, 14 Kommentare

Hi Leute,

ich brauch da mal einen Expertenrat von Euch.
Mich hat gerade ein Kollege angerufen, die folgendes Problem haben:
Anfang des Jahres wurde der Geschäftsführer fristlos entlassen, der Admin in dem kleinen Betrieb ist ein guter Freund vom entlassenen Geschäftsführer.
Jetzt kam immer mal wieder die Situation auf, dass der ehemalige Geschäftsführer Details wusste die er eigentlich gar nicht wissen sollte/drüfte. Daher der Verdacht dass er evtl. Emails mitlesen könnte.

Jetzt ist die Frage wie man so etwas am schnellsten/einfachsten evtl. sogar nachweisen könnte?

Es gibt wohl auf der Homepage einen Weblogin zum Outlook Exchangeservice. Und einen VPN Tunnel worüber sich der Admin auf dem System einloggen kann. Ich habe leider bisher nix mit Exchange gemacht, geh aber davon aus dass der Admin alle Mails + Passwörter direkt am Server lesen könnte?

Was für Protokolle und wo werden bei solchen Zugriffen geschrieben? Man müsste doch sehen können wenn sich jemand über VPN verbindet, oder sogar auf eine Emailadresse zugreift oder?




Mitglied: gemini
16.05.2013, aktualisiert um 22:16 Uhr
Hallo speedy26gonzales,

direkt mitlesen kann der Admin die Mails nicht, genausowenig kann er Passwörter aus Windows auslesen.

Er kann aber:
- sich Vollzugriff auf jedes Postfach verschaffen
- Journaling einrichten, so dass alle Nachrichten zentral protokolliert werden (abhängig von der Exchange Version)
- mit Transportregeln einen BCC zu allen Nachrichten hinzufügen

Wenn ihr administrativen Zugriff auf den Exchange habt könnt ihr ja nachsehen was da alles eingerichtet ist.
Wo es schwierig wird, ist, wenn er sich temporär Vollzugriff auf ein Postfach verschafft und die Nachrichten ausdruckt oder exzerpiert.
Mit der Nachrichtenverfolgung könnt ihr sehen was, wann und an wen geschickt wurde ggfs. mit Betreffzeile.

Man kann auf Exchange ab 2010 eine Adminprotokollierung einrichten, so dass alle von Admins aufgerufenen cmdlets protokolliert werden. Das kann man natürlich auch wieder abschalten

Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.

Gruß,
gemini
Bitte warten ..
Mitglied: speedy26gonzales
16.05.2013, aktualisiert um 22:36 Uhr
Hi gemini,
Danke für deine Antworten.

direkt mitlesen kann der Admin die Mails nicht, genausowenig kann er Passwörter aus Windows auslesen
Ok, ich dachte immer die PWs kann man sich regenerieren und somit auslesen, denn sobald ich ein Passwort weiß kann ich mich ja auf dem Webaccess damit anmelden. Werden die PWs nicht in einer Datenbank gespeichert?

Journaling einrichten, so dass alle Nachrichten zentral protokolliert werden (abhängig von der Exchange Version)
Bedeutet dann soviel, dass quasi eine Kopie in einer Datei abgelegt wird?

Mit der Nachrichtenverfolgung könnt ihr sehen was, wann und an wen geschickt wurde ggfs. mit Betreffzeile.
Wird das immer protokolliert?

Wenn ihr administrativen Zugriff auf den Exchange habt könnt ihr ja nachsehen was da alles eingerichtet ist.
Ist vorhanden, kannst Du sagen wo man direkt schauen muss, damit nicht lange gesucht werden muss.

Wo es schwierig wird, ist, wenn er sich temporär Vollzugriff auf ein Postfach verschafft und die Nachrichten ausdruckt oder exzerpiert.
Ist dann so gemeint wie oben? Dass er sich direkt auf dem Postfach einloggt?

Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Jap stimmt, allerdings sollte es ja Protokolle geben wann von wo darauf zugegriffen wird?
Bitte warten ..
Mitglied: DerWoWusste
16.05.2013 um 22:36 Uhr
Hi.

Vielleicht ist ganz banal vergessen worden, das Konto des ehemaligen GFs zu sperren? Wenn er von remote noch rein kommt, dann kann er vermutlich weiterhin ggf. damals für ihn freigegebene Postfächer mitlesen. Einfach mal sein Konto sperren und parallel dazu im AD überwachen, ob es noch benutzt wird (Attribut: lastlogin).
Bitte warten ..
Mitglied: broecker
17.05.2013 um 02:01 Uhr
> Das ein Admin auf versch. Wegen (OWA, VPN etc.) Zugang hat ist eigentlich normal. IMO kein Verdachtsmoment.
Jap stimmt, allerdings sollte es ja Protokolle geben wann von wo darauf zugegriffen wird?

ja - und als (guter) Admin mit Vollzugriff (?) sollte er all diese auch löschen/modifizieren können
- daher, wenn jetzt z.B. auch finanzielle/rechtliche Auseinandersetzung noch da ist, extern überprüfen und absichern lassen,
der Admin kann dann vielleicht später wieder übernehmen?

HG
Mark
Bitte warten ..
Mitglied: Chonta
17.05.2013 um 08:31 Uhr
Hallo,

oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.

Wenn eine Mailarchivierung eingesetzt wird, hat der evtl dort noch Zugriff.
Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt (Forum)

Gruß

Chonta
Bitte warten ..
Mitglied: keine-ahnung
17.05.2013 um 09:32 Uhr
Zitat von speedy26gonzales:
Ich hab ihm empfohlen den Admin zu wechseln, allerdings würden sie gern rausfinden ob der Verdacht wirklich berichtigt ist.
Moment,

Du hast keine-ahnung. Von nüscht! Und empfiehlst Irgendjemanden aufgrund Deiner Nullkenntnisse einen anderen Irgendjemand zu entlassen?

Daumen runter, Freundchen ...

LG, Thomas
Bitte warten ..
Mitglied: goscho
17.05.2013, aktualisiert um 10:55 Uhr
Mahlzeit
Zitat von Chonta:
oder aber es Gibt eine Weiterleitung die Mails an eine extenre Mailadresse schickt, oder jemand anderes plaudert.
Die Frage ist was für interna kennt der die er nicht wisen dürfte?
Wenn ein Admin Postfachzugriff bekommt und sich dort ungelesene Mails anschaut, werden diese meines Wissens auch als gelesen markiert und erscheinen dann auch beim eigendlichen Benutzer als gelesen.
Dann markiert er diese wieder als ungelesen. auch gilt das immer pro Benutzer.

Wenn eine Mailarchivierung eingesetzt wird, hat der evtl dort noch Zugriff.
Und wenn der Admin mitliest und der schuldige ist, ist er nun vorgewarnt (Forum)
Ich würde gar nocht so weit ausholen.
Sehr oft ist es doch so, dass ehemalige Mitarbeiter die Passwörter von Kollegen oder Vorgesetzten kennen und sich mit diesen via OWA anmelden oder die Mails auf ihr Eiertelephone pushen.

Wurden denn, seit dieser GF nicht mehr da ist, alle Passwörter gewechselt?

Ich hab ihm empfohlen den Admin zu wechseln, allerdings würden sie gern rausfinden ob der Verdacht wirklich berichtigt ist.
Hier teile ich die Meinung von @keine-ahnung.
Bitte warten ..
Mitglied: speedy26gonzales
17.05.2013, aktualisiert um 11:54 Uhr
Wurden denn, seit dieser GF nicht mehr da ist, alle Passwörter gewechselt?
Ja wurden gewechselt. Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?

Du hast keine-ahnung. Von nüscht! Und empfiehlst Irgendjemanden aufgrund Deiner Nullkenntnisse einen anderen Irgendjemand zu entlassen?

Stop, erst mal weise ich Deine Anschuldigung mit "keine Ahnung von nichts" zurück. Denn woher willst Du wissen wovon ich eine Ahnung habe. Ich würde Dir raten etwas über deine Ausdrucksweise nachzudenken "FREUNDCHEN". Und nicht dass hier was falsch verstanden wird. Der Admin macht das nebenher und wohl noch aus alten "gefallen" Zeiten zum GF. Er ist dort nicht Hauptberuflich angestellt. Und ehrlich gesagt sehe ich in der Sache ein Problem, wenn rechtliche Schritte am laufen sind und der Admin ein Freund des "Vertriebenen" ist.
Bitte warten ..
Mitglied: keine-ahnung
17.05.2013 um 11:51 Uhr
Zitat von speedy26gonzales:
Denn woher willst Du wissen wovon ich eine Ahnung habe.
Hmm, mal sehen. Nächste Frage?
Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?
Ach ja. Vermutlich leite ich das aus Deinen Fragen ab??
Bitte warten ..
Mitglied: speedy26gonzales
17.05.2013, aktualisiert um 11:56 Uhr
Zitat von keine-ahnung:
> Zitat von speedy26gonzales:
> ----
> Denn woher willst Du wissen wovon ich eine Ahnung habe.
Hmm, mal sehen. Nächste Frage?
> Wo werden die Passwörter bei einem Exchange hinterlegt? In einer Datenbank?
Ach ja. Vermutlich leite ich das aus Deinen Fragen ab??

Einen konstruktiven Beitrag zum eigentlichen Thema kannst Du wohl nicht leisten? Dann lass es bitte.
Wenn Du ein Problem hast schreib ne PM, aber Müll hier nicht den Thread zu! Danke
Bitte warten ..
Mitglied: eumel1979
17.05.2013 um 12:03 Uhr
Hi,

dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9
Der Exchange nutzt die User und Pw von der AD.
Verabschiede dich vom Gedanken da irgendwas auszulesen.
Hole dir am besten Hilfe von außerhalb. Am besten jemanden der das auch wirklich kann/ beherrscht.
Dann seit ihr dem Übeltäter schnell auf der Spur.

Schönes Wochenende....es ist ja mal wieder Freitag......


Gruß Eumel
Bitte warten ..
Mitglied: speedy26gonzales
17.05.2013, aktualisiert um 12:10 Uhr
Zitat von eumel1979:
Hi,

dein Kenntnisstand werde ich jetzt mal nicht anhand deiner Beiträge groß kommentieren;-9

Danke für deinen Beitrag. Deswegen hab ich im ersten Beitrag geschrieben: " Ich habe leider bisher nix mit Exchange gemacht".
Aber klar, ich muss ja davon ausgesehen dass es in der IT welche gibt, die wirklich alles vom Anfang bis Ende beherrschen.
Und wenn mal einer kommt der sich nicht mit jedem Thema bis ins Detail auskennt hat er gleich keine Ahnung. Das ist wohl die
heutige Gesellschaft.
Bitte warten ..
Mitglied: eumel1979
17.05.2013 um 12:14 Uhr
Hi,

natürlich gibt es solche. Aber Ob du schon mit Exchange gemacht hast oder nicht ist ja nicht relevant.
Bei deiner Aufgabenstellung hätte ich mich eben flux rudimentär eingelesen in Exchange. Dann wäre die Frage nach dem Speicherort erledigt gewesen.
Sei es drum. Such dir Hilfe von extern der auch keine Verwicklungen mit dem Unternehmen hat.
Gruß Eumel
Bitte warten ..
Mitglied: speedy26gonzales
17.05.2013 um 12:19 Uhr
Bei deiner Aufgabenstellung hätte ich mich eben flux rudimentär eingelesen in Exchange
Wird parallel gemacht, bzw. ein Exchange aufgesetzt um es sich anzuschauen.
Leider hat es eben gestern nicht mehr dazu gereicht, deswegen ja der Thread hier, weil ich
eben davon ausging dass hier Profis sitzen die sich bis ins Detail auskennen.

Sei es drum. Such dir Hilfe von extern der auch keine Verwicklungen mit dem Unternehmen hat.
Sowas ist geplant. Es sollte einfach vorab schon paar Infos eingeholt werden.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Microsoft Office
Pivot Tabelle schützen ohne Datenabschnitt (1)

Frage von lupi1989 zum Thema Microsoft Office ...

Windows Server
Exchangeserver 2016 - Konfiguration DNS (6)

Frage von Xaero1982 zum Thema Windows Server ...

iOS
Siri erlaubt schon wieder unbefugte iPhone-Zugriffe

Link von runasservice zum Thema iOS ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...