Jump to content
Sign in to follow this  
Bert006.5

Überwachungsfunktionen

Recommended Posts

Hallo zusammen.

Ich habe schon das Forum durchsucht, habe aber keine wirklich treffenden Antworten gefunden.

Daher nun meine Frage/Bitte:

 

In unserer Firma soll ein neuer Server(2K3) installiert werden. Nun sind wir als Betriebsräte in die Pflicht genommen worden, ewaige Überwachungsmöglichkeiten durch den neuen Server in einer Betreibsvereinbarung zu unterbinden.( Ich muss dazu sagen, dass wir alle nicht wirklich tief in der Materie sind.)

Wir wissen z.B , das man mit der Remoteüberwachung auch ohne Wissen des Users seine Aktivitäten am PC mitschneiden kann, aber da hört es auch fast schon auf.

Gibt es noch weitere versteckte/nicht dokumentierte Möglichkeiten, dass der Administrator des Systems den Client Nutzer überwacht ? Ich meine jetzt nicht separate Software, die dies bewerkstelligen kann, sondern die 2k3 "Bordmittel".

 

Über jede Antwort/Hilfe/Anregung freue ich mich wirklich sehr,

"Danke !" schonmal im voraus,

 

Bert

Share this post


Link to post
Share on other sites

Hi Bert,

 

Es gibt wirklich viele Möglichkeiten den User zu überwachen, bzw. seine Aktivitäten zu dokumentieren. Es können so gut wie alle Useraktivitäten in sog. Log-Files aufgezeichnet werden. Wann er den PC einschaltet, welche Internetseiten er anwählt, auf welche Ordner/Dateien er zugreift, was er druckt, unsw.

 

Dabei handelt es sich aber nicht um "Überwachungstools", sondern um Administrative Werkzeuge, die man benötigt um jegliche Vorgänge zu analysieren die den sicheren Betrieb des Systems gewährleisten. Es soll sichergestellt sein, dass die unternehmerischen IT-Systeme sicher vor unbefugten Zugriff sind. Es werden auch gerne sog. Honey-Pots gelegt, die arglose Mitarbeiter verführen in Ordnern zu stöbern, in denen sie ausdrücklich nichts verloren haben. Greifen sie auf diese Ordner zu, wird ein Eintrag generiert, der den Verursacher identifiziert. Dies sind sehr sinnvolle Maßnahmen um ein System zu schützen, und nicht um die MA auszuspionieren! - auch wenn das möglich ist.

 

Als Betriebsrat kann ich Dir nur nahelegen, euren Mitarbeitern eindringlichst dazu ermuntern lediglich die Dinge auf einem Firmen-PC zu machen, die mit dem Arbeitsplatz in einem Zusammenhang stehen oder genehmigt sind. Einen Schutz vor Verhaltensanalyse durch die Systembetreiber gibt es nicht!

 

oxo

Share this post


Link to post
Share on other sites

Danke für die Antwort oxo!

Aber: Es ist ja nicht so, dass Administratoren nicht alles tun würden,, damit sie Super-User Berechtigungen bekommen. Und das Argument, " Wir brauchen dass, um den störungsfreien Betrieb zu gewährleisten" ist leider auch schon sehr ausgereizt.

Das ist jetzt nichts gegen Dich, versteh das bitte nicht falsch. ;)

Uns ist auch klar, das bestimmte Sachen in Logs gespeichert werden, es geht uns aber, wie von mir oben beschrieben, um solche Sachen wie die Remoteüberwachung. Wir haben davon gehöhrt, dass es eben unter 2k3 mehrere solcher Dinge geben soll.

 

Einen gewissen Teil kann man sicher in der Vereinbarung so klären, das die "Leistungs- und Verhaltenskontrolle" durch missbräuchliches Auswerten der Logs zu unterbleiben hat, wir würden aber schon gerne wissen, wo man z.B , wie bei der Remotekontrolle, nachschauen kann, ob der Administrator OHNE Einwilligung des Users auf dessen Desktop herumschnüffelt, und diese Sachen ggf. abschalten.

Dafür fehlen uns leider eben die genauen Anhaltspunkte.

Gruß Bert

Share this post


Link to post
Share on other sites

Hi Bert u. willkommen an Board,

 

Wir wissen z.B , das man mit der Remoteüberwachung auch ohne Wissen des Users seine Aktivitäten am PC mitschneiden kann, aber da hört es auch fast schon auf.

Gibt es noch weitere versteckte/nicht dokumentierte Möglichkeiten, dass der Administrator des Systems den Client Nutzer überwacht ? Ich meine jetzt nicht separate Software, die dies bewerkstelligen kann, sondern die 2k3 "Bordmittel".

 

eine so genannte Remoteüberwachung des Computerarbeitsplatzes eines Mitarbeiters, also (Mitschnitt / Ansicht / Steuerung) hat mit dem eingesetzten Windows Server 2003 in einer reinen Client/Serverumgebung eigentlich nix zu tun. Außer der Server soll als Terminalserver eingerichtet werden.

 

http://de.wikipedia.org/wiki/Terminal-Server

 

Falls es nun um eine Client/Serverumgebung geht, müssten wir noch Wissen welches Clientbetriebssystem eingesetzt werden soll u. ob nur integrierte Windows-Funktionen zum Helpdesk-Support eingesetzt werden sollen. (z.B. Remoteunterstützung, Remotedesktop unter Windows XP)

 

Natürlich gibt es aber auch noch zusätzliche Überwachungsfunktionen am Serversystem z.B. die so genannten "Überwachungsrichtlinie" die hauptsächlich dazu dient folgende Ereignisse, zu überwachen:

 

• Anmeldeversuche überwachen

• Kontenverwaltung überwachen

• Verzeichnisdienstzugriff überwachen

• Anmeldeereignisse überwachen

• Objektzugriffsversuche überwachen

• Richtlinienänderungen überwachen

• Rechteverwendung überwachen

• Prozessverfolgung überwachen

• Systemereignisse überwachen

 

mehr dazu hier:

http://www.microsoft.com/germany/technet/datenbank/articles/900050.mspx

 

Die Funktion der Überwachungsrichtlinien, wird komplett über so genannte "Gruppenrichtlinien" gesteuert, die man sehr einfach u. übersichtlich dokumentieren u. Ausdrucken kann.

 

Bei Bedarf könnt ihr eine Herausgabe/Dokumentation aller eingesetzten Gruppenrichtlinien von eurer IT verlangen. (Am wichtigsten ist die "Default Domain Policy" u. die "Default Domain Controllers Policy")

 

Bei weiteren Fragen helfen wir dir gerne weiter, aber das Thema ist halt sehr komplex.

Wobei natürlich klar sein sollte, dass es komplette Immunität im Firmennetzwerk nicht geben kann, da sonst der Admin die Arbeit nicht verrichten kann. Ihr könnt aber natürlich gemeinsam mit der IT eine Verpflichtungserklärung entwerfen die, genau diese belange für alle (IT, Mitarbeiter, Chef) klärt.

 

Und das ein Administrator, dass nötige Verständnis für die Vertraulichkeit seiner Tätigkeit haben muss erklärt sich von selbst.

 

LG Gadget

Share this post


Link to post
Share on other sites

Hallo Kohn,

 

danke für die Antwort, ich beschäftige mich erstmal mit den angegebenen Links.

Es ist ja nicht so, das bei uns der Admin der "Böse" ist und wir die "Guten" ;)

Das ganze wird wohl relativ entspannt über die Bühne gehen, es ist aber eben besser, vorher die datenschutzrechtlichen Dinge aufgeführt und damit klare Regeln für ALLE Seiten definiert zu haben, wir wollen ja nicht die generelle Auswertung der Logs verbieten, nur eben deren Verwendung im Hinblick auf die Leistungs- und Verhaltenskontrolle. Auch sollte niemand ausser dem Admin, auch der Chef nicht, unbegrenzten Zugriff darauf haben.

 

Ich bedanke mich schonmal recht herzlich für die schnelle und prompte Hilfe, falls ich weitere Fragen haben sollte, melde ich mich sicher noch einmal.

 

Gruß, Bert

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...