Jump to content

Ereignissanzeige - Sicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen Leute,

 

mal wieder ne frage von mir. wir haben hier im Haus auf den Clients Windows NT/2000/XP. Wir protokollieren auf den Clients mit wann sich wer draufgeschaltet hat, ob über Dameware oder einfach nur auf ein Laufwerk.

mein aufgabe ist folgende: gibt es eine möglichkeit, das die Ereignisanzeige - Sicherheit von Administratoren nicht gelöscht werden kann. fragt bitte nicht nach dem warum ;)

hab bereits probiert auf die Datei "SecEvent.Evt" die Löschrechte zu entziehen. hilft aber leider nicht. habt ihr da noch ne idee?

 

Grüße

 

Pitbull

Link zu diesem Kommentar

hmm...

 

schau mal ob in der domänenrichtlinie unter lokale richtlinien der schlüssel

 

Überwachungs- und Sicherheitsprotokoll verwalten

 

etwas bringt.

 

Aber! Wenn Du einen Hacker hast, der merkt beim ersten Löschversuch der fehlschlägt, das etwas im Busch ist und wird zu einem Maulwurf.

 

Gescheiter ist es eine vom Betriebsrat genehmigte Videoüberwachung der Arbeitsstationen bzw. der vermuteten Arbeitsplätze.

 

Die Remotezugriffe werden ja separat gesteuert.

 

evt. bringt auch ein keylogger etwas (vorher betriebsrat fragen), aber den dürfte ein hacker Admin auch finden....und wäre gewarnt.

 

oder mach es wie die profis, setzte eine Fallgrube auf (z.Bsp. ein Ordner der nur für die Vorstandsetage zugägnlich ist, der hohe Sicherheitsrichtlinien hat und der ANGEBLICH vertrauliche Daten enthält LOHN, GEWINN, UNTERNEHMENSPLÄNE und beobachte....

 

Wenn es einer von deinem Team ist, dann mach ein meeting und erkläre, das der vorstand das jetzt braucht, arbeite vielleicht noch mit Keycards oder dongle und schau wer sich von deinen kollegen verdächtig verhält.

 

aber erschiessen darfste den/die nicht, dafür ist dann die Polizei zuständig, sonst bekommste ärger mit Betriebsrat...;-))

 

 

 

 

Ermöglicht einem Benutzer die Angabe von Überwachungsoptionen für den Objektzugriff auf persönliche Ressourcen, beispielsweise Dateien, Active Directory-Objekte und Registrierungsschlüssel. Die Überwachung der Objektzugriffe wird jedoch nur dann tatsächlich ausgeführt, wenn diese unter Gruppenrichtlinie in den Einstellungen für die Überwachungsrichtlinien oder unter der in Active Directory festgelegten Gruppenrichtlinie für diesen Computer aktiviert wurde. Ein Zugriff auf die systemweite Überwachungsrichtlinie wird durch die Vergabe dieses Privilegs nicht gewährt.

Die Vergabe dieses Privilegs an einen Benutzer ermöglicht außerdem das Einsehen und Löschen des Sicherheitsprotokolls in der Ereignisanzeige.

Link zu diesem Kommentar

das wär ansich ein gute tipp!

aber wir wollen eigentlich nur die anmelde/abmelde vorgänge auf der maschine loggen und das soll man aber nicht löschen können(ausservielleicht als megaspeical user), aber eben nicht als admin...sprich es soll als überwachung für vom admin dienen, damit nachgewiesen kann wann wer wo auf der client war. damit kein missbrauch von daten passiert...geht sowas überhaupt mit boardmitteln?

Link zu diesem Kommentar

Hi!

 

Versuche mal folgendes:

 

Start -> Ausführen -> gpedit.msc

 

Computerkonfiguration -> Windows-Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Verwalten von Überwachungs- und Sicherheitsprotokollen

 

Superadmingruppe rein und die Admins raus

 

ABER VORSICHT!

 

Erst mal auf einem Testrechner probieren, ob es so geht!

 

Der Superadmin darf dann auch nicht Mitglied der Admin's sein.

 

Günter

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...