[HaBo]

White Snake · 20.07.05, 09:58

Hallo,

habe folgende Frage. In unserem Firmennetzwerk sind standardmäßig die Administrative freigaben belassen worden, dies soll auch so bleiben. Jedoch würde es mich brennend interessieren, wenn und wann jemand (also auch ein Admin) sich auf meinen Rechner verbindet. Zum Beispiel über die Benutzerfreigabe auf das Laufwerk, was ja per UNC-Syntax kein Hexenwerk ist. Ich kann zwar wenn ich über den ServerManager gehe sehen welcher Benutzer sich verbunden hat und auch welche Resourcen er geöffnet hat, aber ich möchte gerne informiert werden wann das passiert. Schließlich schaue ich nicht alle paar Sekunden in den Servermanager und die Freigabe möchte ich auch nicht beenden, da die Softwareverteilung per SMS läuft etc.

Gibt es ein Tool oder ein Script das im Hintergrund mitläuft und sobald sich jemand auf meine Festplatte zugreifen will, erscheint ein Popup mit Benutzername, IP, Datei auf die er zugreift und mit welchem Programm der Zugriff erfolgt (z.B. Dameware etc.)

Gruß

Prometheus · 20.07.05, 19:21

Das Ereignisprotokoll, schreibt das meines Wissen alles mit.

Anzeige

- Anzeige -

20.07.05, 23:32

Interessant... Das würde mich bei einem persönlichen Problem weiterbringen...
Deshalb würde mich interessieren, wo das Ereignisprotokoll gespeichert ist! Ich hab schon gegoogled, aber nichts vernünftiges gefunden.
Ist das Ereignisprotokoll in %windir%/security/logs ? Oder sind das andere Logfiles?
Schon jetzt danke für die Antwort!

Prometheus · 20.07.05, 23:56

Unter Arbeitsplatz(Rechtsklick) - Verwalten - Ereignisanzeige - Sicherheit. Dort sind alle Verbindungen zu deinen Rechner aufgezeichnet( falls bei dir das Sicherheitsprotokoll aktiviert ist), die du ja brauchst um auf Ordner zuzugreifen..

21.07.05, 00:23

Danke.
Noch zu meiner vorherigen Vermutung (vielleicht will die ja noch jemand erklärt haben ?() Die in dem von mir angegebenen Verzeichnis scheinen irgendwelche Konfigurations-Logs zu sein. Bei uns in der Schule sind die frei zugänglich. In einem der Files steht dann z.B.: "Benutzer mit Administrationsrechten hat sich gerade angemeldet. (...) Konfigurieren von "HKEY_LOCAL_MACHINE/..." ... abgeschlossen" und ähnliches. Seltsam

Aber sonst ist alles schön sorgfältig gesperrt, man kann an den PCs kaum etwas "schlimmes" machen.

White Snake · 21.07.05, 13:32

Na, ich bin da noch nicht so ganz zufrieden. Wenn jemand eine Remotesteuerung zum Beispiel über SMS, Dameware, VNC, RDP oder ähnliches macht, ok dass wird geloggt, aber ein Festplattenzugriff nicht. Ausserdem erfolgt keine automatische Information an den eingeloggten Benutzer. Ich würde aber sehr gern Zeitnahe Informationen über den Zugriff haben. Auch wenn er sich nur den Inhalt des Laufwerks C anschaut.

Übrigens DaBone,

das Log liegt bei mir Beispielsweise auf: C:\WINNT\System32\config\SecEvent.Evt
C:\WINNT\system32\config\SysEvent.Evt und
C:\WINNT\system32\config\AppEvent.Evt

den Pfad bekommt man heraus, wenn man in der Ereignisanzeige auf die Protokolle mit der rechten Maustaste klickt und Eigenschaften wählt.(zumindest bei w2k)

Kennt denn keiner hier ein Proggie oder ein Script dass die Netzwerkszugriffe überwacht, protokolliert und auch noch den lokalen Benutzer informiert???

Prometheus · 21.07.05, 22:10

@DaBone
Registry - Einträge werden meistens gemacht um vom Server ausgegebene Betriebssystemeinstellungen über alle Rechner per Registryeinträge zu geben. Dazu können die Rechner so eingestellt werden, das Sie sich die Registryschlüssel von einer Serverfreigabe anfügen. Der Nutzen der sich daraus ergibt, kann sich z.B. darauf belangen wie der Benutzer angemeldet wird, was für Programmeinitialisiert werden usw.

@White Snake
Vielleicht helfen dir in so einem Fall Monitorprogramme weiter, die jeden Zugriff speichern können.

22.07.05, 14:33

danke @ Prometheus und White Snake.
In den Logs stehen aber nicht nur Registry-Einträge, sondern auch andere Dateien auf der Festplatte die konfiguriert werden.
Naja egal so eine grosse Rolle spielt das nicht.
Sind eigentlich die Registry-Einträge auch ohne regedit.exe editierbar? Denn so könnte ich cmd und all den Kram in der Schule reaktivieren. (Wie das geht weiss ich, aber ich weiss nicht wie ich die Registry aktivieren kann)
Gibt es da z.B. verbesserte registry editoren, die man auch als Normaluser (= nicht Admin) ausführen kann?
Danke schon im voraus.

edit: würde das z.B. damit funktionieren?

m0r71 · 27.07.05, 15:04

@dabone
also dazu müssten wir wissen welches os auf den system läuft, also, sonst könntest du das auf cd oder usb-stick packen und von dort aus starten, müsste wegen treiber unter xp funzen.
oder wenn die möglichkeit besteht, boote von einer livedisc mit linux zum beispiel morphix und bearbeite von da aus, die einstellungen auf der winfesplatte

Anzeige

- Anzeige -

20.07.05, 09:58	#1 (permalink)
White Snake Registriert seit: 06.06.05 Likes: 0	Info über Verbundene Benutzer! Anzeige Hallo, habe folgende Frage. In unserem Firmennetzwerk sind standardmäßig die Administrative freigaben belassen worden, dies soll auch so bleiben. Jedoch würde es mich brennend interessieren, wenn und wann jemand (also auch ein Admin) sich auf meinen Rechner verbindet. Zum Beispiel über die Benutzerfreigabe auf das Laufwerk, was ja per UNC-Syntax kein Hexenwerk ist. Ich kann zwar wenn ich über den ServerManager gehe sehen welcher Benutzer sich verbunden hat und auch welche Resourcen er geöffnet hat, aber ich möchte gerne informiert werden wann das passiert. Schließlich schaue ich nicht alle paar Sekunden in den Servermanager und die Freigabe möchte ich auch nicht beenden, da die Softwareverteilung per SMS läuft etc. Gibt es ein Tool oder ein Script das im Hintergrund mitläuft und sobald sich jemand auf meine Festplatte zugreifen will, erscheint ein Popup mit Benutzername, IP, Datei auf die er zugreift und mit welchem Programm der Zugriff erfolgt (z.B. Dameware etc.) Gruß

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
benutzer über ssh erstellen / sperren	bikmaek	Linux/UNIX	5	08.12.05 17:45
will das beide verbundene pcs aufs i-net zugreifen können	Kebap	Network · LAN, WAN, Firewalls	3	21.11.04 00:45
Info über Trojaner	Deathevel	(In)security allgemein	3	23.04.03 23:09
Umfassendes Info über FTP	cyberflasch	Internet Allgemein	9	08.12.02 11:07

20.07.05, 19:21	#2 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Das Ereignisprotokoll, schreibt das meines Wissen alles mit.

20.07.05, 23:32	#3 (permalink)
DaBone Guest Likes:	Interessant... Das würde mich bei einem persönlichen Problem weiterbringen... Deshalb würde mich interessieren, wo das Ereignisprotokoll gespeichert ist! Ich hab schon gegoogled, aber nichts vernünftiges gefunden. Ist das Ereignisprotokoll in %windir%/security/logs ? Oder sind das andere Logfiles? Schon jetzt danke für die Antwort!

20.07.05, 23:56	#4 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Unter Arbeitsplatz(Rechtsklick) - Verwalten - Ereignisanzeige - Sicherheit. Dort sind alle Verbindungen zu deinen Rechner aufgezeichnet( falls bei dir das Sicherheitsprotokoll aktiviert ist), die du ja brauchst um auf Ordner zuzugreifen..

21.07.05, 00:23	#5 (permalink)
DaBone Guest Likes:	Danke. Noch zu meiner vorherigen Vermutung (vielleicht will die ja noch jemand erklärt haben ?() Die in dem von mir angegebenen Verzeichnis scheinen irgendwelche Konfigurations-Logs zu sein. Bei uns in der Schule sind die frei zugänglich. In einem der Files steht dann z.B.: "Benutzer mit Administrationsrechten hat sich gerade angemeldet. (...) Konfigurieren von "HKEY_LOCAL_MACHINE/..." ... abgeschlossen" und ähnliches. Seltsam Aber sonst ist alles schön sorgfältig gesperrt, man kann an den PCs kaum etwas "schlimmes" machen.

21.07.05, 13:32	#6 (permalink)
White Snake Themenstarter Registriert seit: 06.06.05 Likes: 0	Na, ich bin da noch nicht so ganz zufrieden. Wenn jemand eine Remotesteuerung zum Beispiel über SMS, Dameware, VNC, RDP oder ähnliches macht, ok dass wird geloggt, aber ein Festplattenzugriff nicht. Ausserdem erfolgt keine automatische Information an den eingeloggten Benutzer. Ich würde aber sehr gern Zeitnahe Informationen über den Zugriff haben. Auch wenn er sich nur den Inhalt des Laufwerks C anschaut. Übrigens DaBone, das Log liegt bei mir Beispielsweise auf: C:\WINNT\System32\config\SecEvent.Evt C:\WINNT\system32\config\SysEvent.Evt und C:\WINNT\system32\config\AppEvent.Evt den Pfad bekommt man heraus, wenn man in der Ereignisanzeige auf die Protokolle mit der rechten Maustaste klickt und Eigenschaften wählt.(zumindest bei w2k) Kennt denn keiner hier ein Proggie oder ein Script dass die Netzwerkszugriffe überwacht, protokolliert und auch noch den lokalen Benutzer informiert???

21.07.05, 22:10	#7 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	@DaBone Registry - Einträge werden meistens gemacht um vom Server ausgegebene Betriebssystemeinstellungen über alle Rechner per Registryeinträge zu geben. Dazu können die Rechner so eingestellt werden, das Sie sich die Registryschlüssel von einer Serverfreigabe anfügen. Der Nutzen der sich daraus ergibt, kann sich z.B. darauf belangen wie der Benutzer angemeldet wird, was für Programmeinitialisiert werden usw. @White Snake Vielleicht helfen dir in so einem Fall Monitorprogramme weiter, die jeden Zugriff speichern können.

22.07.05, 14:33	#8 (permalink)
DaBone Guest Likes:	danke @ Prometheus und White Snake. In den Logs stehen aber nicht nur Registry-Einträge, sondern auch andere Dateien auf der Festplatte die konfiguriert werden. Naja egal so eine grosse Rolle spielt das nicht. Sind eigentlich die Registry-Einträge auch ohne regedit.exe editierbar? Denn so könnte ich cmd und all den Kram in der Schule reaktivieren. (Wie das geht weiss ich, aber ich weiss nicht wie ich die Registry aktivieren kann) Gibt es da z.B. verbesserte registry editoren, die man auch als Normaluser (= nicht Admin) ausführen kann? Danke schon im voraus. edit: würde das z.B. damit funktionieren?

27.07.05, 15:04	#9 (permalink)
m0r71 Registriert seit: 11.06.05 Likes: 0	@dabone also dazu müssten wir wissen welches os auf den system läuft, also, sonst könntest du das auf cd oder usb-stick packen und von dort aus starten, müsste wegen treiber unter xp funzen. oder wenn die möglichkeit besteht, boote von einer livedisc mit linux zum beispiel morphix und bearbeite von da aus, die einstellungen auf der winfesplatte

[HaBo]

Info über Verbundene Benutzer!