pumpkin

Moin allerseits, ich habe das "Problem" das ich in einer Domäne möchte, das sich ein bestimmter User/Admin nur an bestimmte PCs anmelden darf. Jetzt ist es aber so, das er sich an allen PCs anmelden soll, außer an einem einzigen PC/Server in der Domäne. Der User hat aber eine Domain Administratorkennung! Kann ich Irgendwo am Server definieren, das ich den User aussperren möchte? MfG pumpkin

Danke für den Tip :)

Hallo, habe in meiner Firma ein Sicherheitsproblem entdeckt! Dieses würde ich gern schnell und ohne größeren Aufwand beheben. Also, wenn ich mich als "normaler" User der Domäne am PC einlogge, und dann über die Netzwerkverbindung den Admin Share C$, D$ etc. benutze, hat der USER VOLLEN ZUGRIFF auf den anderen PC... Was natürlich nicht im Sinne des Erfinders ist. Als Server Betriebssystem ist noch NT4.0 Installiert, die Client PC haben allerdings Windows 2000 Pro im Betrieb. Wenn der Client versucht auf die Server zu Sharen, kommt eine PW Abfrage, nur W2K Client unter W2K Client hat keine PW Abfrage... Die Admin Share Freigabe von C$ kann ich ja nicht wegnehmen.... oder??? Am liebsten wäre mir eine Möglichkeit, den Client PC diesen Zugriff vom Server aus zu verwähren (Berechtigung?).. Da es sich um ca. 250 PCs handelt. Danke für schnelle und gute Infos. ps. 1 PDC = NT4, 1 BDC = NT4, ein DHCP W2K Server gruß pumpkin

Mach ich, danke für den Link.... Scheint ja doch nicht wie mein Chef wieder meint ne Aktion zu sein die "MAL EBEN" gemacht werden soll...

Hallo und Guten Abend, bei uns in der Firma, stehen demnächst einige Umstellungen im Haus. Hat einer von euch schon Exchange 5.5 auf 2000 umgestellt? Ich habe die Gloreiche Aufgabe bekommen dies Anfang des nächsten Jahres wohl zu machen! Es wäre sehr nett, wenn Ihr mir ein paar Tips geben könntet, damit bei der Umstellung nichts schiefgeht. Da es meine erste Umstellung ist, die ich alleine durchführen werde, hoffe ich halt auf ein paar Hinweise... besser wäre natürlich eine Anleitung, wie die Umstellung funktioniert, und was vorher zu beachten ist. Danke und Gruß christian

Danke, dein Hinweis mit dem Sniffen werde ich mal in Angriff nehmen, da seit einigen Monaten unserer Technik (Die hat das Netzwerk unter sich) mit einen Sniffer arbeitet den wir für die Technik installiert haben. Ansonsten werde ich auch alle anderen Tips mal vortragen, und überprüfen. Dennoch befürchte ich wäre es von Vorteil zu wissen wie eine Manipulation aussehen kann... bzw. wie diese von statten geht. Da die GF eine Fremdfirma zum Auslesen der Logs beauftragt hat... mal sehen wie das endet. gruß pumpkin

Danke für deinen Post Bienchen, mit Microsoft habe ich schon Telefoniert... aber auf die ist Irgendwie kein Verlaß. Ich warte seid 2 Wochen auf Rückmeldung von denen. Habe heute erneut versucht dort anzurufen - Fehlanzeige. Das Gespräch zur GF kann ich nur so kommentieren, das wohl keiner zu seiner GF geht und sagt so Ihr seid selbst schuld. Dann bekomme ich sofort die Papiere und kann gehen. Die GF hat mich beauftragt einen gegenbeweis zu bringen wie ein Logfile editiert worden sein kann... und ich denke das kann nicht so schwer sein. (PC Name kann ich ja schon ändern) Aber der Hex für das Datum und den User muss ich nunmal noch herausfinden... und wenn ich mit meiner Technik auf einem völlig falschem Weg bin, so wäre ich halt für brauchbare Aussagen bezüglich der bearbeitung vom Sysevent.evt sehr dankbar. Habe auch bereits bei der Fa. TriaIT angerufen (0190xxx Nr.) - Hatte dann 3min. Spaß in der Warteschleife und habe aufgelegt. Also nochmal, auch wenn es einigen gegen den Strich geht. Ich würde gern Wissen wie solch ein Logfile editiert werden kann, und will auch kein angehender Hacker werden. Ich denke das ein Administrator solch ein Wissen haben sollte. Nur unserer leider nicht.... Vieleicht weiß er es ja doch, aber würde sich dann halt verraten..... mfg pumpkin

Das jeder ein eigenes PW bekommt, ist sinvoll, aber die GF findet es sei viel zu Arbeitsaufwändig.... (Haben halt keine Ahnung). Aber was die sagen ist nunmal das letzte Wort. Möchte mich in dieser Richtung auch nicht allzusehr aus dem Fenster lehnen. Da ich schon ein bissel rezpekt vor dieser habe. (Bei uns ist es so, das wenn die einmal gegen etwas sind, dann bleibt das auch so) EDV = Stifkind der Firma. Also wird das wohl oder übel vor Gericht enden, und wenn ich bisdahin nicht Mittel habe denen zu zeigen wie das funktioniert, wird das wohl mit Kündigungen enden. (Die GF aktzeptiert nicht das der Mitarbeiter in Urlaub war, und sagt, es könnte auch jemand anderes das Passwort benutzthaben.) - Es sei den Ihr wird gezeigt, wie man am System manipulieren kann. Also tut mir den Gefallen und helft mir, da ich ansonsten weiter im Netz rumschnüffeln muss, und die Zeit halt gegen mich läuft.

Das ist ja jetzt im gange jedoch wie du richtig sehen wirst zu spät. Seit einem jahr versuch ich für jeden EDV Mitarbeiter einen eigenen Account durchzubringen, jedoch bislang ohne Erfolg. Natürlich existiert von seiten der GF nichts schriftliches... Wir haben auch keine Datenschutzerklärung oder ähnliches.

@bienchen: In wie fern ist das Eventlog manipuliert? Einträge von Namen wurden geändert, so das z.B steht Herr X habe um X Uhr das Postfach der GF geöffnet... aber Person X hat zu dem Zeitpunkt gar nicht die möglichkeit gehabt da Sie im Urlaub war. Es geht also um den Einsatz von Exchange, bei uns wird mit Outlook gearbeitet, und im Logfile steht drin, das zusätzlich Postfächer anderer Mitarbeiter geöffnet worden sind. Deswegen wollen die jetzt die Gesamte EDV rausschmeißen, wenn ich denen nicht zeige bzw. erleutere das auch andere Personen sich zugriff auf die Logfiles verschaffen haben könnten. Also 11 Mitarbeiter, davon 6 mit Adminpasswort. Bleiben noch 6 Übrig. Um jetzt evt. die 6 ink. den schuldigen zu retten, muss ich denen einen Weg zeigen, wie man die Logfiles verändern bzw. austauschen könnte... Wäre echt dankbar, da es hier nict um irgendwelche Kinderstreiche geht, sondern um 5 + 1 Täter, die Ihren Arbeitsplatz nicht verlieren möchten. Ich erwarte ja keine wie Hack ich ein Logfile Anleitung sondern lediglich Tips bzw. Gegenmaßnahmen, wie man erklären kann,das so etwas nicht unbedingt von der Person gemacht worden sein muss. Beipiel, Ich war angeblich zu einer Uhrzeit X lt. Logfile im Serveraum am Server, zum selben Zeitpunkt habe aber ich eine Schulung gegeben. Das heißt es muss jemand das Logfile verändert haben! Aber wie? Wenn wirklich niemand helfen möchte, kann ich das verstehen. Aber ich würde mich dennoch sehr freuen, wenn sich jemand durchringen könnte etwas zu schreiben was mir weiter hilft, da es für mich ziemlich Wichtig ist.... Der Arbeitsmarkt ist halt heute nicht mehr so gut.... Ich denke auch das es hier nicht öffentlich stehen müsste, pn reicht deswegen völlig aus.

Also mal Klartext, ich benötige die Lösung für eine evt. Gerichtsverhandlung, da bei uns in der Firma Logfiles editiert worden sind. Wir sind 11 Mitarbeiter in der EDV davon haben 6 das Administrationskennwort, was wir schon seid Monaten versuchen zu ändern, und jetzt ist es halt so, das alle 6 evt. Ihren Arbeitsplatz deswegen verlieren könnten, da Irgendjemand die Files wohl manipuliert hat. An spielkind675: Ereignisanzeige: Speicherort : root:\windows\system32\config AppEvent.Evt = Anwendung SecEvent.Evt = Sicherheit SysEvent.Evt = System ............. so weiter, ich will gar nicht wissen wie es geht, da man nur so z.B WinZapper nehmen könnte um den Dienst zu Stoppen und aktiv zu editieren. Ich benötige weitere Informationen mit welchen Hilfsmitteln Logfile Manipulation stattfinden kann, um evt. den Täter zu ermitteln. Es wäre also sehr nett, wenn mir jemand geeignete Wege darstellen kann, die ich gegenüber der Geschäftsführung darlegen kann. Ich würde selbst suchen, wie ich auch schon angefangen habe. Gefundener Artikel: A 26: Gibt es eine Software, die es einer Person erlaubt, einzelne Ereignisse aus dem Ereignisprotokoll zu löschen? Es kommt darauf an, ob Sie: (A) das aktive Ereignisprotokoll, welches vom System verwendet wird, oder (B) Ereignisprotokolldateien, die bereits gespeichert wurden und vom System nicht mehr gesperrt sind meinen. (A) - Weil der Ereignisprotokolldienst die Logdateien mit exklusivem Zugriff öffnet, müssen Sie erst diesen Dienst sabotieren, wenn Sie selbst direkt in die Logdateien schreiben wollen. Im September 2000 verbreitete Arne Vidstrom ein Programm WinZapper, welches den Ereignisprotokolldienst dazu brachte, seine Arbeit einzustellen, ohne sich dabei aber zu beenden. Nachdem das vollbracht ist, gibt es keinen Unterschied mehr zu Fall (B). Sie müssen übrigens mit einem Administrator-Konto angemeldet sein, um WinZapper zu benutzen. (B) - Das ist möglich. Man kopiert einfach das gesamte Protokoll in eine andere Datei und überspringt dabei die Sätze, die man löschen möchte. MER eignet sich dazu, falls Sie z.B. alle Einträge mit einer bestimmten Ereignis-ID entfernen wollen. Aber dies reicht leider noch nicht aus, um erstmal alle wieder aus dem Schussfeld zu ziehen, die Geschäftsleitung möchte sehen wie so etwas gehen könnte, um dann mit mir weitere Maßnahmen zu erarbeiten. Danke euch pumpkin ps. sollte der Artikel gegen den Forumsrichtlinien sein, bitte ich diesen zu editieren...

Ersteinmal möchte ich ein Hallo senden, da ich ziemlich neu hier bin. Ich hoffe das es nicht zu aufdriglich ist, aber wenn mir jemand bei meiner folgenden Frage behilflich sein könnte, wäre ich ihm sehr Dankbar.<p>Es geht um das Ereignisprotokoll bei Windows, ich habe den verdacht, das in der Firma wo ich Arbeite an den Logfiles manipuliert worden ist. Darauf habe ich mich hingesetzt, und geschaut wie so etwas machbar sein könnte, da ich selbst in der EDV beschäftigt bin. Ich habe mir die Ereignisanzeige vom System als System.evt gespeichert und mit UltraEdit (Hexeditor) geöffnet. Den PC Namen zu verändern geht, das habe ich gefunden aber wie ist es möglich, zeiten zu ändern bzw. den User der den Befehl ausgeführt haben soll?<p>Desweiteren tritt dann die Frage auf wo kann man die Ereignisanzeige DIREKT im System ändern, ohne Sie vorher aus dem System zu speichern, das es z.B für andere so aussieht als ob der Eintrag Original ist.<p>Wie gesagt, eine Hilfe von euch wäre echt Klasse, damit ich dem übel auf den Grund gehen kann. mfg pumpkin