10
Rausfinden wer remote welche Dateien geöffnet hat
Hallo!
Ich habe die Vermutung bzw. ich weiß, dass ein anderer Admin aus unserer Firma auf meinem Rechner war. Ich habe zufällig gesehen, dass er so an die 60 Dateien offen hatte. Habe dann den Netzwerkstecker gezogen...
Ist es irgendwie möglich im Nachhinein in irgendeiner Log Datei zu sehen was er auf meinem Rechner gemacht hat? Würde dem Spinner gerne nachweisen, dass er unerlaubt auf dem Rechner meine Dateien durchstöbert hat.
Nein - ich habe nichts illegales drauf aber auch wenn er ein Admin eine Stufe höher ist, ist das für mich ein unmögliches Verhalten.
Gruß
akira2012
P.S. bitte keine Diskussionen ob er das darf oder nicht - eine Aussage zum Problem reicht mir.
Danke im Voraus!
Ich habe die Vermutung bzw. ich weiß, dass ein anderer Admin aus unserer Firma auf meinem Rechner war. Ich habe zufällig gesehen, dass er so an die 60 Dateien offen hatte. Habe dann den Netzwerkstecker gezogen...
Ist es irgendwie möglich im Nachhinein in irgendeiner Log Datei zu sehen was er auf meinem Rechner gemacht hat? Würde dem Spinner gerne nachweisen, dass er unerlaubt auf dem Rechner meine Dateien durchstöbert hat.
Nein - ich habe nichts illegales drauf aber auch wenn er ein Admin eine Stufe höher ist, ist das für mich ein unmögliches Verhalten.
Gruß
akira2012
P.S. bitte keine Diskussionen ob er das darf oder nicht - eine Aussage zum Problem reicht mir.
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5631125570
Url: https://administrator.de/contentid/5631125570
Printed on: April 27, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hi,
über SMB mit z.B. \\deinpc\c$ ?
Im Akutfall mit
Im Nachhinein in den Eventlogs, wenn Überwachungsregeln an sind, sind sie normalerweise aber nicht.
über SMB mit z.B. \\deinpc\c$ ?
Im Akutfall mit
Get-SMBOpenFileIm Nachhinein in den Eventlogs, wenn Überwachungsregeln an sind, sind sie normalerweise aber nicht.
1
Moin,
- geöffnete Dateien: Nein
- Remotezugriff: evtl. im EventLog
lg,
Slainte
- geöffnete Dateien: Nein
- Remotezugriff: evtl. im EventLog
Ich habe zufällig gesehen, ...
Wie erfolgte denn der Zugriff? Evtl. findet sich was im Log der Remote Software?lg,
Slainte
1
Der Zugriff erfolgte über die Adminshare C$. Ich denke nicht das irgendwelche Überwachungsregeln aktiv waren (auch wenn sie das meiner Meinung nach sein sollten) die das geloggt haben. Es geht sich wie gesagt nur um das überprüfen im Nachhinein - der weg um aktuell geöffnete Dateien an zu zeigen ist mir bekannt. Hätte ich vorher machen sollen aber in dem Moment hab ich einfach erst mal den Stecker gezogen, weil ich so sauer war...
Dann kannst du nichts mehr machen befürchte ich... Es sei denn hier gibt es noch Forensik-Profis mit Ideen
EDIT: Mal mit dem Kollegen gesprochen?
EDIT: Mal mit dem Kollegen gesprochen?
Mein erster Gedanke ist...
... Es gibt auf dem lokalen Storage gespeicherte Dateien?
Das finde ich persönlich merkwürdiger als ein Admin der über den Administrativen Share zugreift.
... Es gibt auf dem lokalen Storage gespeicherte Dateien?
Das finde ich persönlich merkwürdiger als ein Admin der über den Administrativen Share zugreift.
1
Moin
Ist es irgendwie möglich im Nachhinein in irgendeiner Log Datei zu sehen was er auf meinem Rechner gemacht hat? Würde dem Spinner gerne nachweisen, dass er unerlaubt auf dem Rechner meine Dateien durchstöbert hat.
also wenn ich das als admin machen würde, würde im Protokoll stehen, das du, der User das selber war!
wenn die private nutzung ausgeschlossen wurde, darf er das, wenn die GF das so möchte!
Nein - ich habe nichts illegales drauf aber auch wenn er ein Admin eine Stufe höher ist, ist das für mich ein unmögliches Verhalten.
nun, den Netzwerk Stecker zu ziehen, halte ich für fragwürdig, und du kannst dabei sogar daten zerstören / beschädigen!
du hättest deinen vorgesetzten informieren müssen... nicht mehr, und nicht weniger!
Gruß
akira2012
P.S. bitte keine Diskussionen ob er das darf oder nicht - eine Aussage zum Problem reicht mir.
nun... ich als admin würde es so aussehen lassen, als du das selber warst!
Danke im Voraus!
Frank
Zitat von @akira2012:
Hallo!
Ich habe die Vermutung bzw. ich weiß, dass ein anderer Admin aus unserer Firma auf meinem Rechner war. Ich habe zufällig gesehen, dass er so an die 60 Dateien offen hatte. Habe dann den Netzwerkstecker gezogen...
wie hast du das gesehen? hat sich die Maus bewegt?Hallo!
Ich habe die Vermutung bzw. ich weiß, dass ein anderer Admin aus unserer Firma auf meinem Rechner war. Ich habe zufällig gesehen, dass er so an die 60 Dateien offen hatte. Habe dann den Netzwerkstecker gezogen...
Ist es irgendwie möglich im Nachhinein in irgendeiner Log Datei zu sehen was er auf meinem Rechner gemacht hat? Würde dem Spinner gerne nachweisen, dass er unerlaubt auf dem Rechner meine Dateien durchstöbert hat.
wenn die private nutzung ausgeschlossen wurde, darf er das, wenn die GF das so möchte!
Nein - ich habe nichts illegales drauf aber auch wenn er ein Admin eine Stufe höher ist, ist das für mich ein unmögliches Verhalten.
du hättest deinen vorgesetzten informieren müssen... nicht mehr, und nicht weniger!
Gruß
akira2012
P.S. bitte keine Diskussionen ob er das darf oder nicht - eine Aussage zum Problem reicht mir.
Danke im Voraus!
Moin,
öhm du bist anscheinende selber Admin. Also wenn du keine besonderen Regel fürs Logging eingeschaltet hast, dann ist eh essig.
Ich würde mit dem Kollegen mal sprechen. Vielleicht hatte er berechtigtes Interesse.
Gruss
Ps: Die Frage wie du das gemerkt haben willst, wäre schon interessant.
öhm du bist anscheinende selber Admin. Also wenn du keine besonderen Regel fürs Logging eingeschaltet hast, dann ist eh essig.
Ich würde mit dem Kollegen mal sprechen. Vielleicht hatte er berechtigtes Interesse.
Gruss
Ps: Die Frage wie du das gemerkt haben willst, wäre schon interessant.
Ich bedanke mich bei allen die Konstruktive Beiträge gebracht haben. Auf die anderen gehe ich jetzt mal erst gar nicht ein.
Werde mal schauen das ich was bastle was das zukünftig überwacht.
Vielen Dank und einen schönen Rest der Woche.
Werde mal schauen das ich was bastle was das zukünftig überwacht.
Vielen Dank und einen schönen Rest der Woche.
Achso - um die Interessante Frage zu beantworten. Der sollte eigentlich auf den Rechner um was zu reparieren, auf das ich keinen Zugriff hatte. Da ich den Admin Share erst wieder öffnen musste hatte ich schon eine MMC offen für Dateifreigaben. Ich Sepp war nur im falschen Reiter, wo ich sehen konnte wie viele Dateien offen sind aber nicht welche und habe wie geschrieben zu früh den Stecker gezogen. -_-'
Gruß
akira2012
Gruß
akira2012