Hallo Zusammen

Ich arbeite in einem relativ grossem Unternehmen. Nun hatten wir in letzter Zeit das Problem, dass ein User (Mitarbeiter) unberechtigt auf verschiedene Workstations zugreift und von dort Files "weg" kopiert.

Mittlerweile konnten wir herausfinden um welche Persönlichkeit es sich handelt, jedoch war es uns nur sehr beschränkt möglich herauszufinden welche Files und welche Ordner zu welcher Zeit an welchen Ort verschoben wurden.

Da das ganze in unserem Betrieb noch sehr inofitiell ist und zuerst genügen Informationen gesammelt werden müssen, möchte ich gerne ein Sniffer auf den betroffenen Workstations installieren.

Die Programme die ich kenne sind entweder nicht Freeware oder erfüllen die Anforderungen nicht.

An dieser Stelle wollte ich euch Fragen, ob jemand von euch ein Tool-Vorschlag hat.

Anforderungen:
- Loggt IP und MAC Adresse bei einem Loggon. Auch wenn dies via RemoteDesktop geschehen sollte.
- Hält fest, welche Ordner um welche Zeit verschoben / kopiert / gelöscht etc. wurden
- Ist Freeware
- Darf keinen unserer Dienste im Netzwerk stören.


Schon im Voraus ein dickes Danke schön.
und liebe Grüsse
Lukylas

hm würde es da nicht mehr Sinn machen das in Windows eingebaute Auditing erst mal zu verwenden?

Ein klassischer Sniffer ist ja Paketorientiert, man müsste also vermutlich danach noch massiv Auswertung betreiben.

Hm...Ein Sniffer braucht meines Wissens nach nicht auf jedem Rechner installiert zu sein? Ist zwar eine Weile her aber ich kann mich noch aus den Schulzeiten erinnern dass "Wireshark" ein ziemlich mächtiges Tool (glaub Freeware) ist dass deinen Anforderungen erfüllen müsste bis auf die Sache mit den Ordner....ob da effektiv dann "xyz" als Ordnername da steht weiss ich nicht, eher nicht aber man kann es sicherlich rückverfolgen

mfg sfx-rayzel

Also Wireshark ist tatsächlich sehr mächtig.

Du kannst diesen auf deinem Rechner installieren, Start drücken und es zeichnet dir jeden Verkehr der laufenden Rechner in deinem Subnetz an.

Dann kannst du über einen Filter die IP Adresse der betroffenen Person filtern.

Jedoch ist es nicht möglich Ordnerverschiebungen aufzuzeichnen, soweit ich weiss.

Falls du so ein Tool einsetzt musst du deine Mitarbeiter informieren. Da es einen Eingriff in die Privatsphäre ist und man auch ganz locker Passwörter sehen kann.

Achja falls du nicht der Boss dieses Unternehmens bist sondern "nur" Mitarbeiter solltest du dir Berechtigung von deinem Boss holen gehen, da du sonst plötzlich den blauen Brief im Postfach hast.

Gruss,

Bagandi

Es sei denn es gibt im Mitarbeiterhandbuch eine entsprechende
IT-Richtline die dies erlaubt.

Das erledigt man doch am besten mit den Sicherheitseinstellungen auf dem client und protokolliert die Dateizugriffe die über das Netz stattfinden.

Fraglich ist warum es einem User von der Administration erlaubt wird überhaupt auf fremde PCs zuzugreifen. Er muss ja entsprechende Berechtigung haben zugreifen zu dürfen - also wohl ein Admin-Fehler meines Erachtens. Der Admin hat dafür zu sorgen wer auf was zugreifen darf, und die Vorgaben gibt die Geschäftsleitung.

Wireshark ist das Standardtool zum Sniffen - für den benannten Zweck jedoch überdimensioniert.

Erledigt Dir Windows einwandfrei, ausser dass es keine Freeware ist, aber das ist in diesem Fall auch nicht notwendig.


Uuh, JEIN Wenn Du nur Hubs im Subnetz hast ja, sonst nur Broadcasts (da ja eher Switches im Einsatz sind). Sonst musst Du auf dem Switch einen Monitorport einrichten, der Dir den ganzen Traffic aller Ports zukommen lässt, je nach Netzwerkbelastung klappt das aber auch wieder nicht, da Du ja bei einem z.B 24 Port-Switch nicht über einen einzigen Port 2400 MBit bringst (im Extremfall). Den betroffenen PC an einen Hub, den Wireshark-PC an den gleichen Hub, dann gehts.
Ich möchte dann aber sehen, wer sich die Millionen Pakete durchsieht und anhand der Nutzerdaten dann herausfindet, was gemacht wurde... Es steht ja nicht im jedem Paket "von Hans Müller gemacht"