Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Protokollierung von System- und User-Aktivitäten

Frage Microsoft

Mitglied: norbertk

norbertk (Level 1) - Jetzt verbinden

18.03.2011, aktualisiert 18.10.2012, 3469 Aufrufe, 8 Kommentare

Hallo zusammen,

eines sag ich gleich vorweg, hier geht es nicht darum Anwender auszuspionieren, sondern eine bessere IT-Sicherheit zu erreichen.

Unsere User sind mit ihren Notebooks viel außerhalb der Firma tätig und müssen für die Betreuung von Kundenanlagen auch häufig Software installieren. Daher haben die meisten auf ihren Notebooks auch Admin-Rechte. Die Installation und Verwendung von Programmen ist in unserer Firma durch duch entsprechende Vorschriften reglementiert, so das es eigentlich keine Probleme geben sollte, wenn sich alle daran halten würden. Dem ist aber leider nicht so. Dadurch hatten wir in der Vergangenheit also auch schon Probleme mit Viren, Tauschbörsen-Software und sogar Raubkopien.

Ich suche daher jetzt nach einer Möglichkeit, Programminstallationen, Programmaufrufe etc. auf den Notebooks zu protokollieren und das ganze dann nach Möglichkeit zentral zu erfassen und automatisch auszuwerten.
Wie oben bereits gesagt, geht es nicht darum, die User auszuspionieren, sondern nur darum, unerlaubte Programmistallationen und Aufrufe zu registieren.

Kennt jemand hier entsprechende Tolls oder Windows-Boardmittel, womit ich sowas realisieren könnte?

Mit freundlichen Grüßen
Norbert
Mitglied: DerWoWusste
18.03.2011, aktualisiert 18.10.2012
Installationen erzeugen oft im Ereignisprotokoll Einträge - Du kannst an diese Einträge Tasks binden, zum Beispiel eine Mail senden, die den Inhalt des Eintrags (auslesen mit dumpel.exe in Verbindung mit findstr) an Dich senden. Siehe http://www.administrator.de/wissen/m%c3%b6glichkeiten-der-eventlog%c3%b ...
Du könntest auch die NTFS-Überwachung für c:\programme einschalten und dann das Sicherheitslog monitoren.

Die Aufrufe zu monitoren ist jedoch schwieriger. Bedenke, dass Du alle Starts von irgendwas monitoren würdest. Man kann auch hier mit Überwachung bestimmter Verzeichnisse arbeiten (überwache die Ausführung beispielsweise). Wie möchtest Du das automatisch auswerten?

Denkbar wäre folgende Kombi: Software restriction policies (bzw. applocker auf win7) lassen nur Starts aus c:\programme\... zu (Pfadregel) und die Schreibzugriffe darauf werden gemonitort - somit kann nichts ausgeführt werden, von dem Du nichts mitbekommst.
Bitte warten ..
Mitglied: norbertk
19.03.2011 um 21:47 Uhr
Hallo DerWoWusste,

ob ich da wirklich "nur" mit Policies weiterkomme, weiss ich nicht. Wir setzen W2k, XP und Win7 auf den Notebooks ein. Außer der Programminstallation machen mir auch die vielen PortableAps Kopfzerbrechen. Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen. Ich kann doch nicht der Einzige sein, der sich deswegen einen Kopf macht.
Ich hatte gehofft, es gibt dafür irgendein Programm, vielleicht sogar als OpenSource, was ich dafür einsetzen könnte.

Mit freundlichen Grüßen
Norbert
Bitte warten ..
Mitglied: DerWoWusste
20.03.2011 um 13:43 Uhr
Hi.

Ich liefer ein Konzept und Du schreibst "Ich hätte wirklich gerne gewusst, wie andere Admins dieses Problem sehen und ggf. lösen" - das war eine erntgemeinte Lösung. Diese funktioniert auf win2k nicht vollständig (weil 2k keine Software restriction policies kennt), aber win2k sollte wegen diverser Sicherheitsbedenken nicht mehr einsetzen.

Auch OpenSource würde die selben Ansätze wählen müssen: NTFS-Überwachung und SRPs.
Bitte warten ..
Mitglied: norbertk
21.03.2011 um 18:53 Uhr
Hallo DerWoWusste,

ich wollte deinen Lösungsansatz wirklich nicht "schlecht" machen, ich sehe mich aber nicht in der Lage, bei den unterschiedlichen Win-Versionen und Konfigurationen deine Lösung umzusetzen.
Wenn ich dich richtig verstanden habe, hast du sowas auch noch nicht gemacht (entschuldige bitte, wenn ich das falsch verstanden habe). Also bleibt für mich die Frage, ob andere Admins dieses Problem nicht haben oder sehen, oder vielleicht einen Lösungsansatz/ ein Progamm kennen, mit der ICH MEIN Problem relativ einfach lösen kann.

Mit freundlichen Grüßen
Norbet
Bitte warten ..
Mitglied: DerWoWusste
21.03.2011 um 19:02 Uhr
Ich hab das schonmal gemacht und finde den Aufwand vertretbar. Unter Win2k gehen SRPs nunmal nicht. Wozu siehst Du Dich nicht in der Lage? Liegt das nur an win2k?
Bitte warten ..
Mitglied: norbertk
21.03.2011 um 21:45 Uhr
Hallo,

das liegt nicht nur an Win2k, obwohl die Rechner dann natürlich außen vor sind. Die Themen NTFS-Überwachung und SRPs sind eher Neuland für mich. Und abgesehen davon würde ich trozdem gerne wissen, wie das Problem in anderen Firmen gesehen wird.

Mit freundlichen Grüßen
Norbert
Bitte warten ..
Mitglied: DerWoWusste
21.03.2011 um 21:51 Uhr
Gut, damit kann ich nicht dienen und ich glaube auch, dass meine Lösung nicht abwegig oder ungewöhnlich ist, so dass ich nicht erwarte, dass andere Lösungen häufig anzutreffen sein werden. Mach Dich mit den Ansätzen vertraut, sie sind nicht kompliziert.
Bitte warten ..
Mitglied: norbertk
21.03.2011 um 22:05 Uhr
Hallo,

wie schon geschrieben, ich wollte deine Lösung keinesfalls abwerten und bedanke mich auch recht herzlich für deine Tips.

Mit freundlichen Grüßen
Norbert
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Python
gelöst Os.system erkennt den Befehl query user nicht (5)

Frage von lordzwieback zum Thema Python ...

Monitoring
System Monitoring für Windows, Linux (5)

Frage von manuelw zum Thema Monitoring ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...