Minimoi 0 Geschrieben 14. Juni 2016 Melden Teilen Geschrieben 14. Juni 2016 (bearbeitet) Servus, in einem Heimnetz eines Freundes ist eingebrochen worden, (WLAN unzureichend geschützt), ich wurde nun gefragt, in wie weit Daten "geklaut" werden konnten, da ich in dem Bereich nicht mehr ganz aktuell bin wollte ich euch nochmal fragen, ob ich in meiner Annahme richtig liege. Im Netz werden Windows 7 Clients betrieben (Home Premium), mit aktiverter UAC und dem Firewallprofil Öffentlich oder Heim/Arbeitsplatz Netzwerk - ohne Domäne und ohne extra eingerichtete Arbeitsgruppe. Es wurden lt. meinem Freund keine extra Freigaben angelegt. Ein Blick in die erweiterte Freigabeansicht zeigt mir jedoch dass es zum einen die Administrativen Freigaben wie C$ und Co aber auch eine Freigabe namens "Users" gibt (lt. Freund wurde diese nicht extra angelegt sondern war schon da.). Hat Jemand eine Erklärung warum "Users" als Freigabe angelegt worden ist? Beim Googlen scheine ich nicht der einzige zu sein, der über dieses Phänomen stolpert - mein Verdacht liegt auf dem Homegroup Feature, selbst wenn dort der Assitent abgebrochen wird, könnte ich mir vorstellen, dass dort ein Share angelegt wird. Das wäre dann nicht weiter tragisch da für den Join einer Homegroup zwangsläufig das Homegroup Passwort erforderlich ist. Die Benutzerkonten sind teilweise mit Passwörtern abgesichert, teilweise sind keine vorhanden. Gehe ich recht in der Annahme, das hier keine Gefahr des Datenraubes durch Nutzung der administrativen Freigaben respektive der Freigabe "users" droht? Standardmäßig sollten die administrativen Freigaben ohne Vorliegen einer Domäne zwar vorhanden aber gar nicht nutzbar sein, ist das nach wie vor so? Was die "Users" Freigabe angeht sollte ein Zugriff nur möglich sein, sofern der Angreifer Wissen über den Benutzernamen und das Passwort der Maschine, auf welcher die Freigabe "users" besitzt korrekt?Sprich wenn auf dieser Maschine neben einem passwortgeschütztem User noch ein User ohne Passwort vorhanden ist, dürfte der Zugriff mit diesem User ohne Passwd nicht möglich sein, richtig? An den Firewallprofilen wurde nicht rumgepfuscht, auch nicht in der Registry soweit ich das beim ersten Blick beurteilen kann. Das Entfernen der administrativen Freigaben sollte normalerweise unnötig sein, da wie oben bereits beschrieben eh nicht scharf geschaltet sind ohne zugehörige Domäne respektive Domänenadmin, richtig? Selbst ein lokaler, passwortgeschützter Admin auf einem Rechner innerhalb der Workgroup dürfte eigentl. selbst nach Eingabe der richtigen Zugangsdaten keinen Zugriff auf C$ bekommen oder? Neben meinen gestellten Fragen wäre ich für weitere Tipps dankbar. Besten Dank für eure Zeit Steffen bearbeitet 14. Juni 2016 von Minimoi Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Offenbar vermutet ihr einen kriminellen Vorgang mit finanziellen Schäden. Aus deinem eigenen Interesse lass da einen Profi (Systemhaus) ran und halte dich mit Vermutungen und Tipps an deinen Freund zurück! Du schreibst ja selbst, dass du nicht mehr "im Bereich ganz aktuell bist". Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Juni 2016 Melden Teilen Geschrieben 18. Juni 2016 (bearbeitet) Moin, gibt es denn überhaupt sichere Indizien für einen Einbruch und ein Kopieren von Daten? Gibt es Spuren? Oder ist es eine Vermutung? Jedenfalls bist Du kein Forensiker. Ob Leute von einem Systemhaus das sind? Im Nachhinein etwas feststellen? Es gibt ja keine Sicherungs- und Überwachungsmechanismen. Ein Systemhaus könnte aber das Netzwerk sicherer machen für die Zukunft, die Freigaben und Verzeichnisse gegen unbefugtes Eindringen schützen. Aber es hängt natürlich auch im hohen maße vom Eigentümer und dessen Mitarbeitern, deren Verhalten und Organisation ab.. bearbeitet 18. Juni 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.