MurphY MacManus 10 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 also wenn ich so ne inkompetente GF hätte ich würde kündigen....warum soll ich vor gericht gezerrt werden wenn die GF die ratschläge, hinweise und warnungen sich am ***** (sorry)vorbeigehn hat lassen??? also des is ja ein zustand bei euch....(nochma sorry ;)) MurphY Zitieren Link zu diesem Kommentar
bienchen 10 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 Es ist eine sinnlose Diskussion, die hier entsteht. Er braucht Hilfe und nicht die Ratschläge, wie man mit GF umzugehen hat. Also folgendes: wenn es ein Passwort von einem Mitarbeiter (Admin) benutzt wurde, dann muss es nicht sein, dass es manipuliert wurde, es kann sein, dass jemand sich angemeldet hat und wirklich die Postfächer angeguckt hat. Wenn das jemand manipuliert, dann glaub mir der ist dann sehr gut und es wird sehr schwierig sein denjenigen zu finden. Versuch mal im Internet nach Firmen zu suchen, die die Datenmanipulation nachweisen können, die haben bestimmte Tools, die nachweisen dass es nicht von System erstellt wurde sondern von einem Benutzer. Und wenn du schon raus gefunden hast, wie du Computername editierst, dann versuch damit bei GF durchzukommen und versuch denen klar zu machen, dass derjenige, der das manipuliert sehr gut sein soll und wenn du gewusst hättest, wie das geht, würdest du schon wo anders sein. Außerdem kann man versuchen eine Anfrage bei Microsoft zu machen, vielleicht können die irgendwelche Tools empfehlen. Das alles kann aber sehr Kosten aufwendig werden. Tut mir Leid dass ich dir nicht weiter helfen kann. Ich drücke dir ganz doll die Daumen. dass du es schaffst und unschuldige Admins von Arbeitslosigkeit rettest. Grüße Bienchen P.S. Es wäre besser wenn alle jetzt was Produktives schreiben und sich nicht über die GF auslassen. Zitieren Link zu diesem Kommentar
pumpkin 10 Geschrieben 1. Oktober 2003 Autor Melden Teilen Geschrieben 1. Oktober 2003 Danke für deinen Post Bienchen, mit Microsoft habe ich schon Telefoniert... aber auf die ist Irgendwie kein Verlaß. Ich warte seid 2 Wochen auf Rückmeldung von denen. Habe heute erneut versucht dort anzurufen - Fehlanzeige. Das Gespräch zur GF kann ich nur so kommentieren, das wohl keiner zu seiner GF geht und sagt so Ihr seid selbst schuld. Dann bekomme ich sofort die Papiere und kann gehen. Die GF hat mich beauftragt einen gegenbeweis zu bringen wie ein Logfile editiert worden sein kann... und ich denke das kann nicht so schwer sein. (PC Name kann ich ja schon ändern) Aber der Hex für das Datum und den User muss ich nunmal noch herausfinden... und wenn ich mit meiner Technik auf einem völlig falschem Weg bin, so wäre ich halt für brauchbare Aussagen bezüglich der bearbeitung vom Sysevent.evt sehr dankbar. Habe auch bereits bei der Fa. TriaIT angerufen (0190xxx Nr.) - Hatte dann 3min. Spaß in der Warteschleife und habe aufgelegt. Also nochmal, auch wenn es einigen gegen den Strich geht. Ich würde gern Wissen wie solch ein Logfile editiert werden kann, und will auch kein angehender Hacker werden. Ich denke das ein Administrator solch ein Wissen haben sollte. Nur unserer leider nicht.... Vieleicht weiß er es ja doch, aber würde sich dann halt verraten..... mfg pumpkin Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 Ich würde mich nicht unbedingt nur auf eine mögliche Manipulation der Log-Files versteifen, außer der Datumsstempel abgespeicherter Log-Dateien wurde nachweisbar nachträglich verändert. Hier kann aber evtl. ein altes Backup Klarheit schaffen. Denkt dabei auch an den gesicherten Systemstatus - habt Ihr noch Zugriff auf alte Versionen? Wenn ja, überprüfen ... Sind die Passwörter der User mit Admin-Rechten irgendwo hinterlegt? Wenn ja, dann soll die GF erst einmal beweisen, dass es hier keinen Mißbrauch gegeben hat, bevor sie 6 Leute entläßt. Realistischer als die Manipulation des Event-Logs ist IMHO, dass die Passwörter der entsprechenden User geknackt worden sind, entweder ausgespäht beim Eintippen oder über den Einsatz entsprechender Tools ... - Im zweiten Fall - wenn die Paßwörter nur aus Buchstaben und Zahlen bestehen - sind die mit einem alten Pentium 2-PC in locker 24-48 Stunden entschlüsselt und Eure sind bereits mehrere Monate im Einsatz. Die Account-Daten können entweder über die DC, Sniffen des Netzwerkverkehrs, Auslesen der lokalen SAM bei Workstations in Erfahrung gebracht worden sein. Mit Admin-Rechten in der Domäne ist das alles natürlich ein Klacks, als Admin auf Workstations etwas schwieriger und als Benutzer wirds noch schwieriger, ist aber nicht unmöglich ... Um die Entlassungen zu verhindern, bringe der GF Vorschläge, wie in Zukunft möglicher Mißbrauch massiv erschwert bzw. unmöglich gemacht werden kann. Kleiner Einschub - wer sagt denn, dass die neuen Admins nicht das gleiche machen ... Das kann die Verwendung schwer entschlüsselbarer Passwörter sein, die häufig gewechselt werden müssen; die Einführung des Vier-Augen-Prinzips bei Administrator-Accounts (keiner kennt das gesamte Passwort, jeder nur einen Teil), Authentifizierung per Smart-Card, ... Zitieren Link zu diesem Kommentar
pumpkin 10 Geschrieben 2. Oktober 2003 Autor Melden Teilen Geschrieben 2. Oktober 2003 Danke, dein Hinweis mit dem Sniffen werde ich mal in Angriff nehmen, da seit einigen Monaten unserer Technik (Die hat das Netzwerk unter sich) mit einen Sniffer arbeitet den wir für die Technik installiert haben. Ansonsten werde ich auch alle anderen Tips mal vortragen, und überprüfen. Dennoch befürchte ich wäre es von Vorteil zu wissen wie eine Manipulation aussehen kann... bzw. wie diese von statten geht. Da die GF eine Fremdfirma zum Auslesen der Logs beauftragt hat... mal sehen wie das endet. gruß pumpkin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.