Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffe auf administrative Freigaben erkennen

Frage Netzwerke Netzwerkmanagement

Mitglied: HarLeaQuinn

HarLeaQuinn (Level 1) - Jetzt verbinden

18.11.2011 um 11:37 Uhr, 6922 Aufrufe, 6 Kommentare

Hallo liebe Admins,

folgende Aufgabenstellung habe ich (Admin in einer Firma) gerade:
Es gibt Benutzer in unserer Firma, die (berechtigten) Grund zur Annahme haben, dass ohne ihr Wissen und wahrscheinlich auch ohne genehmigten Anlaß auf lokal auf dem Rechner gespeicherte Daten zugegriffen wird (durch einen Admin).
Wie kann man den Zugriff protokollieren? Den aktiven Zugriff direkt aufzeigen lassen (um den Zugreifenden in flagranti) stellen zu können?

Umgebung ist wie folgt:

- Windows7-ENT-Clients (x86)
- Windows-Domäne (2003)
- Einsatz von GPO (Aktivierung von admin. Freigaben für alle lokalen Datenträger)
- 1 Standard-Passwort für den lokalen Adminstrator (ca 10 Admins bekannt)
- 10 Mitarbeiter, die einen Domänen-Admin-Account haben.

- Das lokale Admin-PW sollte nicht geändert werden (zumindest nicht ohne zuvor einen Mißbrauch bestätigt bekommen zu haben)
- die admin. Freigaben sollen bestehen bleiben

Was mir nun helfen würde:
- ein Protokoll, welches Zugriffe auf lokale Daten mit IP &/ Username des Zugreifenden listet
- noch besser: ein generiertes Event , wenn sich jemand ein Laufwerk eines Systems mapt oder auf bestimmte Dateien lesend zugegriffen wird

Am liebsten wäre mir die 2. Lösung, aber ein Protokoll wäre sonst auch gut.

In der Hoffnung auf Hilfe durch Euch & den wünschen auf einen baldigen Feierabend!
Mitglied: sanixo
18.11.2011 um 11:49 Uhr
Hallo HarLeaQuinn,

nur mal auf die Schnelle, wie du die aktiven Zugriffe anzeigen kannst:

In der Computerverwaltung unter System\Freigegebene Ordner kannst du dir die aktiven Sitzungen und offene Dateien ansehen.

sanixo
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 11:52 Uhr
Ja danke, ist mir bekannt (hätte ich erwähnen sollen).
Geht mir halt darum a) dem User (mit nur einem Monitor) nicht über Tage ein Fenster offen zu lassen, auf welches er immer schauen muß und b) wegen des "Events" auch z.B. mir oder einem anderen speziellen admin eine Benachrichtigung zukommen lassen zu können.

Aber: danke!
Bitte warten ..
Mitglied: DerWoWusste
18.11.2011 um 12:01 Uhr
Hi!

Ein paar Ansätze:
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit findstr filtert und eine Aktion auslöst.
-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung unerlässlich.
Bitte warten ..
Mitglied: 60730
18.11.2011 um 12:01 Uhr
moin,

naja - das wird schwer bis unmöglich...
Windows-Domäne (2003)

Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an einem anderen Client Zeugs zieht?
Das wirst du mit Boardmitteln und ohne Turnschuhe nicht lösen können.

10 Mitarbeiter, die einen Domänen-Admin-Account haben.

uiuiui...

Du kannst - theoretisch "maintain objects list" anwerfen und via
openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks erscheint....

01.
:start 
02.
ping -n 5 localhost>nul 
03.
openfiles |findstr /i /v "%username%">>abghjk.tmp 
04.
goto start
edit
Der localhorst war aber diesesmal nicht beabsichtigt und das Ipad kann auch nicht als Sündenbock herhalten
/edit
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:08 Uhr
-Du kannst die NTFS-Überwachung nutzen. Dies generiert dann eventlog-Einträge und diese wiederum können so
konfiguriert werden, dass sie Mails verschicken oder Popups generieren, oder ...
Werde ich mir mal anlesen

-ebenso kannst Du ein Skript regelmässig alle x Min. laufen lassen, das mit net files geöffnete Dateien anzeigt und mit
findstr filtert und eine Aktion auslöst.
Scheint mit dem zu passen, was TimoBeil gerade geschrieben hat

-Auch ist es grundsätzlich schlecht, einen lokalen Admin zu aktivieren, denn so hat man ein anonymes konto. Deaktiviere den
lokalen Admin und lege jedem Domänenadmin ein eigenes Konto an. Dies ist für die NTFS-Überwachung
unerlässlich.
Ach an dem Thema (deaktivierung des lokalen Admins/ personalisierte DomAdmins haben wir) arbeite ich hier schon länger - auch wenn ich hoffe, dass kein Kollege hier Mist baut: Aber ein solcher Vorfall könnte mein Vorhaben untermauern und durchsetzen helfen!

Danke!
Bitte warten ..
Mitglied: HarLeaQuinn
18.11.2011 um 12:14 Uhr
Wenn sich irgendeiner, der es kennt mit dem Domain Admin auf nem Client anmeldet und dann über die Administrative Freigabe an
einem anderen Client Zeugs zieht?
So fleissig wird derjenige wohl nicht sein, sondern bestimmt eher von seinem AP aus.
> 10 Mitarbeiter, die einen Domänen-Admin-Account haben.
uiuiui...
JA! (siehe Bestreben zu "Abschaffung lokalesAdmin-Konto" oben...

Du kannst - theoretisch "maintain objects list" anwerfen und via
> openfiles |findstr /i /v "%username%">>abghjk.tmp
Das Loggen lassen - aber ein fähiger Admin - der findet sowas auch rel. schnell - auch wenns krumm benamst wird - über
den dazu nötigen geplanten Task - also wieder eine Batch, die man anklickern muß - damit die nicht im Geplanten tasks
erscheint....

01.
> :start 
02.
> ping -n 5 localhorst>nul 
03.
> openfiles |findstr /i /v "%username%">>abghjk.tmp 
04.
> goto start 
05.
> 
Das mit der lokal gestarteten Batch ist ne gute Idee. Ich nehme nicht an, dass der Kollege Neugierde nur breit rumschnüffelt und Prozessen etc. keine Aufmerksamkeit schenken wird.

Danke Euch beiden. ich markier das mal als "Gelöst"
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
Administrative Freigaben - keine Schreibrechte (2)

Frage von redhorse zum Thema Windows 10 ...

Windows Netzwerk
gelöst Probleme beim Erkennen eines identischen Servers (5)

Frage von DonDento zum Thema Windows Netzwerk ...

iOS
Siri erlaubt schon wieder unbefugte iPhone-Zugriffe

Link von runasservice zum Thema iOS ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...