Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffe und Web-Weiterleitungen im Netzwerk nachverfolgen.

Frage Microsoft Windows Server

Mitglied: JollyJumper83

JollyJumper83 (Level 1) - Jetzt verbinden

03.07.2012 um 17:59 Uhr, 6616 Aufrufe, 4 Kommentare

Hallo liebes Admin Team,

so nun habe ich mal eine deutlich schärfere Frage als sonst.

Es ist derzeit so das sich in unserem Unternehmen ein dringender Verdacht erhärtet, das jemand etwas illegales tut. So kurz und knapp beschreibe ich den Fall mal. Ich werde da auch nicht weiter drauf eingehen.
Meine Frage ist dahingehend, kann ich über Windows eigene Mittel A: Webweiterleitungen samt Client-IP erfassen und auslesen, und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen. Da ich hier nicht gerichtsverwertbare Unterlagen sammeln möchte sondern es lediglich darum geht ersteinmal einen Ansatz zu finden. Würde ich das gerne mal Wissen.
Zudem ist es dann Aufgabe von Profis, dieses wirklich dingfest zu machen. Nur für den Anfang brauche ih erstmal einen Ansatz.

Hoffe Ihr könnt mir weiterhelfen.

PS: Es liegt mir nix ferner als meine Mitarbeiter auszuspähen oder irgendetwas der Gleichen. Zumal die Nutzung des Internets auch ausdrücklich gewünscht ist. Hier geht es wirklich um eine Straftat eines Einzelnen, sofern sich der Verdacht bestätigen sollte.


Plattform
Windows SBS 2011

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.
Mitglied: Pjordorf
03.07.2012 um 19:40 Uhr
Hallo,

Zitat von JollyJumper83:
Webweiterleitungen samt Client-IP erfassen und auslesen,
Was gernau verstehst da darunter? Bitte erläutern da sich jeder etwas anderes darunter vorstellen kann, aber nicht das was du vielleicht gemint hast. Ein Beispiel wenn es nicht anders geht. Wer, an welchem Client, Wo, wohin, Protokoll, Zugriffsrechte, usw.

und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen.
Klar. Das konnte Windows schon immer. Du suchts hier Überwachung.
- Ordner wählen und rechte Taste
- Eigenschaften
- Sicherheit
- Erweitert
Überwachung wählen. das gleiche für Dateien

Process Monitor geht auch.

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.
Über welche wege (VPN, RDP, LAN, WWAN, WEB, FTP usw) besteht Zugriff auf das betroffene System?
Passwörter bekannt?
Offene Ports?
Firewalls alle aktiv?
Wer hat alles Zugriff auf den Router jetzt / gehabt?

Was für ein Werkzeug hättest du gerne wenn dir die Wege nicht klar sind? Es gibt mehr als Tausend möglichkeiten deinen Server und Netz zu Überwachen. Einiges ist kostenfrei in der Anschaffung, vieles kostet teueres Geld. Aber die Bedienung dieser Werkzeuge setzt entsprechendes Fachwissen voraus sonst sind die Ergebnisse nicht besser als das was du jetzt an Informationen hast.

Gruß,
Peter
Bitte warten ..
Mitglied: JollyJumper83
05.07.2012 um 13:03 Uhr
Hallo Peter,

vielen Dank für deine Antwort, leider konnte ich erst heute Antworten. Also es hat sich in der Zwischenzeit auch etwas ergeben.

Wir wissen jetzt welcher Mitarbeiter hier etwas verrückt spielt. Das heißt natürlich auch das wir wissen von welchem PC / Laptop das Ganze ausgeht. Zum Glück ist das nicht mehr so ganz dramatisch wie es sich durch ein Richterliches Schreiben angehört hat, aber dennoch keine Bagatelle.

Um es nochmal etwas klarer darzustellen. Ich will folgende Punkte erfahren. Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen, es reicht dabei aber nicht nur aus zu wissen z.B. www.googel.de sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw. Was ich nicht wissen will sind Passwörter etc.
Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.

Das gleiche gilt natürlich auch für unser Netzwerk. Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc. Also eine Art Bewegungsprofil.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden. Das ganze braucht erstmal keine Beweislast bilden können, mir geht es in erster Linie darum einen fundierten Anhaltspunkt zu haben um weitere "professionelle" Schritte einzuleiten.

Derzeit erhalte ich über meinen Router Protokolle in Form von:

156.196.13.68 -> Web Forward -> www.googel.de | Schonmal nicht schlecht, aber weiterfolgende Klicks ewerden nicht angezeigt.

Im Netzwerk fehlt mir noch der Ansatz leider. Aber so in der Form wäre das Super. Hoffe da gibts was.
Bitte warten ..
Mitglied: Pjordorf
05.07.2012 um 16:20 Uhr
Hallo,

Zitat von JollyJumper83:
Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen
Proxy

sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw.
Proxy

Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.
Proxy

Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc.
Windows Protokollierung Ordner und Dateiüberwachung. Liegt dann alles im Ereignisprotokoll. Achtung! Große Datenmengen in kürzester Zeit. Es gilt dann für alle Benutzer da es der Protokollierung "eine Protokollierung nach Benutzer oder Gruppen" wurscht ist. Filtern kannst du nur in der Ausgabe vom Ereignisprotokoll. Übersichtlich ist es im Standard nicht. Evtl. Zusatzsoftware (Drittanbieter auch) zur Analyse von EVT Logs etc. verwenden. Powershell kann dir auch helfen.
http://technet.microsoft.com/en-us/scriptcenter/dd919274.aspx
http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
http://www.tecchannel.de/server/windows/2032597/workshop_log_dateien_au ...
Es gibt auch jede menge Drittanbieter mit Software zur Analyse der Logs Dateien.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden.
Alles oben genannte ist Serverseitig

Derzeit erhalte ich über meinen Router Protokolle in Form von:
Dir ist schon klar das es fast genauso viele verschiedene Routermodelle wie Automodelle gibt. Und wie bei den Autos, sind alle irgendwie anders. Wenn du also auf ein "mach doch dies in deinem Router" hoffst, muss ich dich enttäuschen. Meine Inventarisierungssoftware streikt gerade


156.196.13.68 -> Web Forward -> www.googel.de
Was habt ihr für IPs in eurem Lokalen Netz? Jeder nutzt doch irgendwie die gleichen IPs der privaten ranges, oder?

Im Netzwerk fehlt mir noch der Ansatz leider.
Dann gibt es noch gezielt die Software welches alles vom Benutzer mitprotokolliert. In Europa eher nicht zu finden.

Als Proxy kann auch eine UTM herhalten. Astaro (jetzt Sophos) hat da auch etwas.
http://www.sophos.com/de-de/products/unified/utm/licensing.aspx

Gruß,
Peter
Bitte warten ..
Mitglied: JollyJumper83
09.07.2012 um 10:14 Uhr
Soooo ersteinmal vielen Dank für die Antworten.
Wir haben uns jetzt doch am Samstag entschieden, dass ganze unserem Anwalt zu übergeben und haben zeitgleich auch die Polizei eingeschaltet. Was mich sehr überraschte, ca. eine Std. nach dem Gespräch im Betrugsdezernat, war ein Spezialist für Datengruppe vor unserer Firmentür. Er hat alle relevanten Inforamtionen eingesehen und konnte auch gleich eine Beurteilung verlauten lassen.

Nur soviel, der Mitarbeiten wurde heute fristlos entlassen, da er Firmeninternas an das Mitbewerb weitergegeben hat. Das ging jetzt doch alles sehr schnell, hatte ich nicht erwartet, zumal er auch vollends getändig war. Für Ihn, so habe ich mir von meinem Anwalt sagen lassen, könnte das Ganze böse enden - da es für Datenklau u. Weitergabe von Firmengeheimnisse strafrechtlich hohe Strafen gibt. Mal sehen was so passiert, für uns hällt sich der Schaden zum Glück noch im Rahmen und wie weit wir den Herrn belasten wollen, muss ich mir noch überlegen. Hätte man mir das vor einem Jahr gesagt, hätte ich meine Hand dafür in Feuer gelegt das das nicht stimmt. So kann man sich in Menschen täuschen. Traurig aber wahr.

Der Beitrag ist somit, zumindest rechtlich gesehen, gelöst!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Kein Zugriff auf Zyxel Web Configurator
gelöst Frage von switch-homeSwitche und Hubs9 Kommentare

Guten Abend! Ich versuche, auf meinen gebraucht gekauften Zyxel XGS-4526 zuzugreifen. Er sei auf die Werkseinstellungen zurückgesetzt worden. Ich ...

Sicherheits-Tools
Email nachverfolgen mit dem Header
Frage von rababar2014Sicherheits-Tools2 Kommentare

Hallo admins, ich habe gestern zwei Emails erhalten, von denen ich gerne wissen würde woher Sie genau kommen. Also ...

Video & Streaming
Probleme Web Zugriff IP Kamera
gelöst Frage von Vsadm07Video & Streaming13 Kommentare

Habe mir 2 IP Kameras gekauft. Das Einrichten im eigenen LAN bzw. WLAN machte keine Probleme. Nun möchte ich ...

Router & Routing
Zugriff auf Fritzbox Netzwerk
Frage von daquickRouter & Routing21 Kommentare

Hallo ich habe aktuell 3 Router. und zwar: Hauptgerät : Netgear JWNR2000v2 WANIP: Dynamisch LANIP: 192.168.1.1 Büro: Netgear RP616v4 ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 14 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 17 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...