Ereignissanzeige - Sicherheit

[Pitbull 10]

Guten Morgen Leute,

 

mal wieder ne frage von mir. wir haben hier im Haus auf den Clients Windows NT/2000/XP. Wir protokollieren auf den Clients mit wann sich wer draufgeschaltet hat, ob über Dameware oder einfach nur auf ein Laufwerk.

mein aufgabe ist folgende: gibt es eine möglichkeit, das die Ereignisanzeige - Sicherheit von Administratoren nicht gelöscht werden kann. fragt bitte nicht nach dem warum ;)

hab bereits probiert auf die Datei "SecEvent.Evt" die Löschrechte zu entziehen. hilft aber leider nicht. habt ihr da noch ne idee?

 

Grüße

 

Pitbull

[Der Newbie 10]

Kannst Du nicht einen Batch schreiben, der die Securityeinträge alle 5 Minuten loggt und dann machste einen abgleich, welcher Admin bei euch im Haus der ***** ist.

 

wenn da differenzen sind, dann könnt ihr ihn killen.

[Pitbull 10]

hmmm...gute idee ;) geht leider nicht nur um admins.....haben erst eine ganz findigen hacker im haus gehabt...

wir wollen die quasi, allein lassen und das soll dann einfach weiterlaufen...das im prinzip niemand, ausser dem system, das logfile löschen/überschreiben kann...

[Der Newbie 10]

hmm...

 

schau mal ob in der domänenrichtlinie unter lokale richtlinien der schlüssel

 

Überwachungs- und Sicherheitsprotokoll verwalten

 

etwas bringt.

 

Aber! Wenn Du einen Hacker hast, der merkt beim ersten Löschversuch der fehlschlägt, das etwas im Busch ist und wird zu einem Maulwurf.

 

Gescheiter ist es eine vom Betriebsrat genehmigte Videoüberwachung der Arbeitsstationen bzw. der vermuteten Arbeitsplätze.

 

Die Remotezugriffe werden ja separat gesteuert.

 

evt. bringt auch ein keylogger etwas (vorher betriebsrat fragen), aber den dürfte ein hacker Admin auch finden....und wäre gewarnt.

 

oder mach es wie die profis, setzte eine Fallgrube auf (z.Bsp. ein Ordner der nur für die Vorstandsetage zugägnlich ist, der hohe Sicherheitsrichtlinien hat und der ANGEBLICH vertrauliche Daten enthält LOHN, GEWINN, UNTERNEHMENSPLÄNE und beobachte....

 

Wenn es einer von deinem Team ist, dann mach ein meeting und erkläre, das der vorstand das jetzt braucht, arbeite vielleicht noch mit Keycards oder dongle und schau wer sich von deinen kollegen verdächtig verhält.

 

aber erschiessen darfste den/die nicht, dafür ist dann die Polizei zuständig, sonst bekommste ärger mit Betriebsrat...;-))

 

 

 

 

Ermöglicht einem Benutzer die Angabe von Überwachungsoptionen für den Objektzugriff auf persönliche Ressourcen, beispielsweise Dateien, Active Directory-Objekte und Registrierungsschlüssel. Die Überwachung der Objektzugriffe wird jedoch nur dann tatsächlich ausgeführt, wenn diese unter Gruppenrichtlinie in den Einstellungen für die Überwachungsrichtlinien oder unter der in Active Directory festgelegten Gruppenrichtlinie für diesen Computer aktiviert wurde. Ein Zugriff auf die systemweite Überwachungsrichtlinie wird durch die Vergabe dieses Privilegs nicht gewährt.

Die Vergabe dieses Privilegs an einen Benutzer ermöglicht außerdem das Einsehen und Löschen des Sicherheitsprotokolls in der Ereignisanzeige.

[Pitbull 10]

das wär ansich ein gute tipp!

aber wir wollen eigentlich nur die anmelde/abmelde vorgänge auf der maschine loggen und das soll man aber nicht löschen können(ausservielleicht als megaspeical user), aber eben nicht als admin...sprich es soll als überwachung für vom admin dienen, damit nachgewiesen kann wann wer wo auf der client war. damit kein missbrauch von daten passiert...geht sowas überhaupt mit boardmitteln?

[günterf 45]

Hi!

 

Versuche mal folgendes:

 

Start -> Ausführen -> gpedit.msc

 

Computerkonfiguration -> Windows-Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Verwalten von Überwachungs- und Sicherheitsprotokollen

 

Superadmingruppe rein und die Admins raus

 

ABER VORSICHT!

 

Erst mal auf einem Testrechner probieren, ob es so geht!

 

Der Superadmin darf dann auch nicht Mitglied der Admin's sein.

 

Günter

[Pitbull 10]

YO! danke! dieser tipp ist weitesgehend perfekt! danke!