Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffe und Web-Weiterleitungen im Netzwerk nachverfolgen.

Frage Microsoft Windows Server

Mitglied: JollyJumper83

JollyJumper83 (Level 1) - Jetzt verbinden

03.07.2012 um 17:59 Uhr, 6190 Aufrufe, 4 Kommentare

Hallo liebes Admin Team,

so nun habe ich mal eine deutlich schärfere Frage als sonst.

Es ist derzeit so das sich in unserem Unternehmen ein dringender Verdacht erhärtet, das jemand etwas illegales tut. So kurz und knapp beschreibe ich den Fall mal. Ich werde da auch nicht weiter drauf eingehen.
Meine Frage ist dahingehend, kann ich über Windows eigene Mittel A: Webweiterleitungen samt Client-IP erfassen und auslesen, und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen. Da ich hier nicht gerichtsverwertbare Unterlagen sammeln möchte sondern es lediglich darum geht ersteinmal einen Ansatz zu finden. Würde ich das gerne mal Wissen.
Zudem ist es dann Aufgabe von Profis, dieses wirklich dingfest zu machen. Nur für den Anfang brauche ih erstmal einen Ansatz.

Hoffe Ihr könnt mir weiterhelfen.

PS: Es liegt mir nix ferner als meine Mitarbeiter auszuspähen oder irgendetwas der Gleichen. Zumal die Nutzung des Internets auch ausdrücklich gewünscht ist. Hier geht es wirklich um eine Straftat eines Einzelnen, sofern sich der Verdacht bestätigen sollte.


Plattform
Windows SBS 2011

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.
Mitglied: Pjordorf
03.07.2012 um 19:40 Uhr
Hallo,

Zitat von JollyJumper83:
Webweiterleitungen samt Client-IP erfassen und auslesen,
Was gernau verstehst da darunter? Bitte erläutern da sich jeder etwas anderes darunter vorstellen kann, aber nicht das was du vielleicht gemint hast. Ein Beispiel wenn es nicht anders geht. Wer, an welchem Client, Wo, wohin, Protokoll, Zugriffsrechte, usw.

und B: Zugriffe auf Verzeichnisse samt Client-IP erfassen und auslesen.
Klar. Das konnte Windows schon immer. Du suchts hier Überwachung.
- Ordner wählen und rechte Taste
- Eigenschaften
- Sicherheit
- Erweitert
Überwachung wählen. das gleiche für Dateien

Process Monitor geht auch.

Vieleicht könnt Ihr mir auch ein Tool empfehlen welches ich verenden kann. Bin für jede Hilfe Dankbar.
Über welche wege (VPN, RDP, LAN, WWAN, WEB, FTP usw) besteht Zugriff auf das betroffene System?
Passwörter bekannt?
Offene Ports?
Firewalls alle aktiv?
Wer hat alles Zugriff auf den Router jetzt / gehabt?

Was für ein Werkzeug hättest du gerne wenn dir die Wege nicht klar sind? Es gibt mehr als Tausend möglichkeiten deinen Server und Netz zu Überwachen. Einiges ist kostenfrei in der Anschaffung, vieles kostet teueres Geld. Aber die Bedienung dieser Werkzeuge setzt entsprechendes Fachwissen voraus sonst sind die Ergebnisse nicht besser als das was du jetzt an Informationen hast.

Gruß,
Peter
Bitte warten ..
Mitglied: JollyJumper83
05.07.2012 um 13:03 Uhr
Hallo Peter,

vielen Dank für deine Antwort, leider konnte ich erst heute Antworten. Also es hat sich in der Zwischenzeit auch etwas ergeben.

Wir wissen jetzt welcher Mitarbeiter hier etwas verrückt spielt. Das heißt natürlich auch das wir wissen von welchem PC / Laptop das Ganze ausgeht. Zum Glück ist das nicht mehr so ganz dramatisch wie es sich durch ein Richterliches Schreiben angehört hat, aber dennoch keine Bagatelle.

Um es nochmal etwas klarer darzustellen. Ich will folgende Punkte erfahren. Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen, es reicht dabei aber nicht nur aus zu wissen z.B. www.googel.de sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw. Was ich nicht wissen will sind Passwörter etc.
Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.

Das gleiche gilt natürlich auch für unser Netzwerk. Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc. Also eine Art Bewegungsprofil.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden. Das ganze braucht erstmal keine Beweislast bilden können, mir geht es in erster Linie darum einen fundierten Anhaltspunkt zu haben um weitere "professionelle" Schritte einzuleiten.

Derzeit erhalte ich über meinen Router Protokolle in Form von:

156.196.13.68 -> Web Forward -> www.googel.de | Schonmal nicht schlecht, aber weiterfolgende Klicks ewerden nicht angezeigt.

Im Netzwerk fehlt mir noch der Ansatz leider. Aber so in der Form wäre das Super. Hoffe da gibts was.
Bitte warten ..
Mitglied: Pjordorf
05.07.2012 um 16:20 Uhr
Hallo,

Zitat von JollyJumper83:
Auf welche Internetseiten wird vom PC und dem Laptop zugegriffen
Proxy

sondern ich muss den gesamten Weg auf diesem Zugriff verfolgen können. Welche links klickt dieser an usw.
Proxy

Zudem will ich wissen wird etwas heruntergeladen oder voralem auch hochgeladen.
Proxy

Ich will eigentlich nur erfahren was macht er im Netzwerk in welche Ordner geht er, auf weche N-Laufwerke greift er zu etc.
Windows Protokollierung Ordner und Dateiüberwachung. Liegt dann alles im Ereignisprotokoll. Achtung! Große Datenmengen in kürzester Zeit. Es gilt dann für alle Benutzer da es der Protokollierung "eine Protokollierung nach Benutzer oder Gruppen" wurscht ist. Filtern kannst du nur in der Ausgabe vom Ereignisprotokoll. Übersichtlich ist es im Standard nicht. Evtl. Zusatzsoftware (Drittanbieter auch) zur Analyse von EVT Logs etc. verwenden. Powershell kann dir auch helfen.
http://technet.microsoft.com/en-us/scriptcenter/dd919274.aspx
http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
http://www.tecchannel.de/server/windows/2032597/workshop_log_dateien_au ...
Es gibt auch jede menge Drittanbieter mit Software zur Analyse der Logs Dateien.

Ich muss jedoch noch eines dazu sagen, ich kann nicht an den Rechner bzw. den Laptop, das muss irgendwie Serverseitig stattfinden.
Alles oben genannte ist Serverseitig

Derzeit erhalte ich über meinen Router Protokolle in Form von:
Dir ist schon klar das es fast genauso viele verschiedene Routermodelle wie Automodelle gibt. Und wie bei den Autos, sind alle irgendwie anders. Wenn du also auf ein "mach doch dies in deinem Router" hoffst, muss ich dich enttäuschen. Meine Inventarisierungssoftware streikt gerade


156.196.13.68 -> Web Forward -> www.googel.de
Was habt ihr für IPs in eurem Lokalen Netz? Jeder nutzt doch irgendwie die gleichen IPs der privaten ranges, oder?

Im Netzwerk fehlt mir noch der Ansatz leider.
Dann gibt es noch gezielt die Software welches alles vom Benutzer mitprotokolliert. In Europa eher nicht zu finden.

Als Proxy kann auch eine UTM herhalten. Astaro (jetzt Sophos) hat da auch etwas.
http://www.sophos.com/de-de/products/unified/utm/licensing.aspx

Gruß,
Peter
Bitte warten ..
Mitglied: JollyJumper83
09.07.2012 um 10:14 Uhr
Soooo ersteinmal vielen Dank für die Antworten.
Wir haben uns jetzt doch am Samstag entschieden, dass ganze unserem Anwalt zu übergeben und haben zeitgleich auch die Polizei eingeschaltet. Was mich sehr überraschte, ca. eine Std. nach dem Gespräch im Betrugsdezernat, war ein Spezialist für Datengruppe vor unserer Firmentür. Er hat alle relevanten Inforamtionen eingesehen und konnte auch gleich eine Beurteilung verlauten lassen.

Nur soviel, der Mitarbeiten wurde heute fristlos entlassen, da er Firmeninternas an das Mitbewerb weitergegeben hat. Das ging jetzt doch alles sehr schnell, hatte ich nicht erwartet, zumal er auch vollends getändig war. Für Ihn, so habe ich mir von meinem Anwalt sagen lassen, könnte das Ganze böse enden - da es für Datenklau u. Weitergabe von Firmengeheimnisse strafrechtlich hohe Strafen gibt. Mal sehen was so passiert, für uns hällt sich der Schaden zum Glück noch im Rahmen und wie weit wir den Herrn belasten wollen, muss ich mir noch überlegen. Hätte man mir das vor einem Jahr gesagt, hätte ich meine Hand dafür in Feuer gelegt das das nicht stimmt. So kann man sich in Menschen täuschen. Traurig aber wahr.

Der Beitrag ist somit, zumindest rechtlich gesehen, gelöst!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
Nach Start kein Netzwerk (11)

Frage von MegaGiga zum Thema Windows 10 ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...