[XP/2003] Actitivity logger voor het netwerk - Privacy en beveiliging

woensdag 27 mei 2009 17:47

Acties:

Topicstarter

Ik ben al ongeveer een week bezig met experimenteren over ik hier een netwerkje van 8 PC's kan loggen.

Er zijn hier 7 werkstations, draaiend op Windows XP Prof (+SP3).
En 1 server, Windows Server 2003 Enterprise.

De bedoeling is dat ik dmv een soort activity logger die logs op de server opslaat terug kan zien wat de werkstations hebben gedaan.

Aantal eisen die ik stel:
- Er moet een overzicht komen welke PC (naam) wat heeft gedaan.
- Bezochte websites, geopende programma's (en eventueel gesloten programma's), welke bestanden gedownload, moeten loggen. Password en keylogger is niet noodzakelijk, maar mag eventueel.
- Onzichtbaar op de werkmachines (te zien in task manager is niet erg aangezien ze geen rechten hebben tot de task manager). Dus geen zichtbare icoon bij de tray oid.

Wat heb ik zelf gedaan:
- OpenDNS.org, maar dat is niet wat ik wil. Krijg je allemaal logs dat je 5000x naar de server bent gebrowsed en zo. Ook krijg je daar alleen welke website er is bezocht, maar niet door welke PC en welke tijd.
- Diverse producten (demo/shareware/freeware) getest, maar geen een van hun doen aan mijn eisen of loggen alleen de bandbreedteverbruik.

Weet iemand hier een leuk pakketje voor? Liefst gratis (freeware).

woensdag 27 mei 2009 19:27

Acties:

Turdie

Zit gewoon in Windows zelf, zoals de Eventlogs en Windows & Active Directory Auditing. Als je alle logs centraal wilt managen zijn daar wel pakketten voor.

Een goede is onder andere:
EventSentry

Zelf hebben wij op het werk dit pakket draaien:
NetIQ Security Manager

Waar heb je trouwens zelf op gezocht?

[ Voor 22% gewijzigd door Turdie op 27-05-2009 19:55 ]

donderdag 28 mei 2009 09:31

Acties:

lordgandalf

Naast dat er genoeg info over te vinden is vraag ik mij af of dit uberhaupt is toegestaan.
Dit ivm de wet op de privacy want zoals ik het lees is dit een gigantische inbreuk op de privacy.
Okee dat je inet verkeer monitord tot daar aan toe maar dat je gaat bekijken wie wat heeft gedaan gaat toch echt te ver imho

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 28 mei 2009 09:39

Acties:

tc982

The Conman schreef op woensdag 27 mei 2009 @ 17:47:
- Er moet een overzicht komen welke PC (naam) wat heeft gedaan.
- Bezochte websites, geopende programma's (en eventueel gesloten programma's), welke bestanden gedownload, moeten loggen. Password en keylogger is niet noodzakelijk, maar mag eventueel.
- Onzichtbaar op de werkmachines (te zien in task manager is niet erg aangezien ze geen rechten hebben tot de task manager). Dus geen zichtbare icoon bij de tray oid.

Zelfs al ken ik zo een programma, voor de doeleinden dat jij ze wil gebruiken geef ik de naam niet prijs! Wat een idee... In zo een bedrijf zou ik rap opstappen!

Computers make very fast, very accurate mistakes.

donderdag 28 mei 2009 09:45

Acties:

Verwijderd

The Conman schreef op woensdag 27 mei 2009 @ 17:47:
Password en keylogger is niet noodzakelijk, maar mag eventueel.

Sorry hoor, maar dit kan echt niet !!! Nigeriaanse oplichters praktijken, daar verglijk ik dit mee !!!

En van jou mag dit dan misschien wel, maar van de wet zeker NIET.

[ Voor 11% gewijzigd door Verwijderd op 28-05-2009 09:46 ]

donderdag 28 mei 2009 09:46

Acties:

CherandarGuard

Voor zover ik weet is auditing toegestaan, mits dit aan de betreffende perso(o)n(en) bekend is gemaakt. Dat komt dus neer op een icoon in de system tray, of een clausule in een contract. Wat jij probeert te doen mag dus niet.

Verder zoek je dus geen 'activity logger', maar een manier om netwerk- (of liever gezegd internet)verkeer te auditen. Daar is genoeg over te vinden, lijkt me.

donderdag 28 mei 2009 09:49

Acties:

Racemol

Misschien is een ISA server wat voor je?

http://www.microsoft.com/netherlands/isaserver/default.aspx

180 dagen gratis uitproberen

donderdag 28 mei 2009 09:52

Acties:

Verwijderd

Aangezien het gaat omslechts experiment gaat (geen idee wat de gebruiker hiermee wil doen) vraag ik me af waarom jullie er zo moeilijk over doen?

Als ik mijn eigen (Test) netwerkje opzet, wil ik ook de gebruiker (lees: user zonder admin rechten) zoveel mogelijk pesten.

On topic: geen idee

Via eventvwr kun je al een hoop informatie achterhalen nietwaar?

donderdag 28 mei 2009 09:58

Acties:

Mental

geen idee wat de gebruiker hiermee wil doen

Dat moet reden genoeg zijn om niet mee te werken aan het overtreden van de wet lijkt me.

donderdag 28 mei 2009 10:13

Acties:

Verwijderd

L4m0r schreef op donderdag 28 mei 2009 @ 09:58:
[...]

Dat moet reden genoeg zijn om niet mee te werken aan het overtreden van de wet lijkt me.

Hoezo niet?
misschien is de gebruiker student (zoals ikzelf) en wil hij/zij zijn/haar verbreden.

Waarom niet? nog nooit geklooid met Sub7?

donderdag 28 mei 2009 10:14

Acties:

LuckY

The Conman schreef op woensdag 27 mei 2009 @ 17:47:

Dus jij wilt alles kunne opvragen omtrent programma's?
Zou een leuke log worden

Er zijn echter wel genoeg traffic monitoring/sniffer software beschikbaar, maar de vraag is kan jou netwerk dit ook ?
Dit waarschijnlijk omdat dit om een thuisnetwerk gaat of een warez editie, want een Enterprise server voor 7 computers

iets met licentie technisch fucked up.
En als je snifft is het onzichtbaar op de computer omdat je erbuiten omgaat, maar een VPN verbinding zie je ook de data niet van terug.

@ mennekemooren

Sub7 en netbus..... Het jaar 2000 belden ze willen hun prutsprogramma's terug

En als jij een Trojan verward met een monitoring en logging tool moet echt maar eens even aandacht besteden op school, nofi

[ Voor 50% gewijzigd door LuckY op 28-05-2009 10:19 ]

donderdag 28 mei 2009 10:17

Acties:

Mental

Verwijderd schreef op donderdag 28 mei 2009 @ 10:13:
[...]

Hoezo niet?
misschien is de gebruiker student (zoals ikzelf) en wil hij/zij zijn/haar verbreden.

Waarom niet? nog nooit geklooid met Sub7?

Bestaand netwerk van een 2003 server en 7 clients
Alles loggen, maar geen overbodige informatie opslaan.
Password / keylogger niet nodig, maar mag wel.
Mag niets kosten.

Iets zegt mij dat hier iets niet goed zit.

donderdag 28 mei 2009 10:57

Acties:

Verwijderd

LuckyY schreef op donderdag 28 mei 2009 @ 10:14:
[...]

Dus jij wilt alles kunne opvragen omtrent programma's?
Zou een leuke log worden
Er zijn echter wel genoeg traffic monitoring/sniffer software beschikbaar, maar de vraag is kan jou netwerk dit ook ?
Dit waarschijnlijk omdat dit om een thuisnetwerk gaat of een warez editie, want een Enterprise server voor 7 computers iets met licentie technisch fucked up.
En als je snifft is het onzichtbaar op de computer omdat je erbuiten omgaat, maar een VPN verbinding zie je ook de data niet van terug.

@ mennekemooren

Sub7 en netbus..... Het jaar 2000 belden ze willen hun prutsprogramma's terug
En als jij een Trojan verward met een monitoring en logging tool moet echt maar eens even aandacht besteden op school, nofi

No offence, maar waar zeg ik dat ik Sub7 verwar met een monitoring tool? volgens mij nergens.
Ik leg alleen de link tussen hetgeen de gebruiker wil en het feit dat bijna iedereen hier wel eens experimenteerd met programma's die illegaal zijn (Zoals bijvoorbeeld Sub7). Misschien moet jij dat nog leren onder het vak "Nederlandsch"...

donderdag 28 mei 2009 11:07

Acties:

LuckY

Verwijderd schreef op donderdag 28 mei 2009 @ 10:57:
[...]

No offence, maar waar zeg ik dat ik Sub7 verwar met een monitoring tool? volgens mij nergens.
Ik leg alleen de link tussen hetgeen de gebruiker wil en het feit dat bijna iedereen hier wel eens experimenteerd met programma's die illegaal zijn (Zoals bijvoorbeeld Sub7). Misschien moet jij dat nog leren onder het vak "Nederlandsch"...

offtopic:
Ach, ik wilde het even verduidelijken voordat je in de fout ging

Maar :

Sub7 is niet illegaal, het is een legale tool maar de "payload" op andermans computer te installeren zonder zijn toestemming is computervredebreuk. Dus dat zou eerder onder het vak Rechten zijn dan "Nederlandsch"
Ik leer iig niet bij "Nederlandsch" over illegale programma's

[ Voor 4% gewijzigd door LuckY op 28-05-2009 11:12 ]

donderdag 28 mei 2009 11:12

Acties:

Verwijderd

LuckyY schreef op donderdag 28 mei 2009 @ 11:07:
[...]

offtopic:
Sub7 is niet illegaal, het is een legale tool maar de "payload" op andermans computer te installeren zonder zijn toestemming is computervredebreuk. Dus dat zou eerder onder het vak Rechten zijn dan "Nederlandsch"
Ik leer iig niet bij "Nederlandsch" over illegale programma's

Nope, maar het leggen tussen een link tussen een ow en een begrip wel

Verder ben ik het 100% met je eens wat betreft de legaliteit over Sub7, maar hopelijk snap je wel wat ik bedoel. Laten we maar op houden met eigenwijs doen, dalijk worden we gebanned

donderdag 4 juni 2009 21:45

Acties:

The Conman

Topicstarter

Even voor de duidelijkheid.
Ik vraag slechts om wat suggesties. Niet voor commentaar of andere afkraakverhaaltjes.
Wat een W2003 server doet met 7 clients, is niet van belang en heb hier ook geen vragen over gesteld.

De medewerkers weten allemaal dat wij dit binnenkort zullen toepassen.
Reden hiervan is omdat er een aantal gebruikers allerlei websites bezoeken (waaronder porno) op het werk.
Wij willen kunnen achterhalen wie dit doen en hun kunnen waarschuwen.

Inbreuk op privacy is het niet helemaal.
Je kan net zo goed elke dag bij alle computers de geschiedenis van firefox/IE teruglezen.
Maar dat is geen goede oplossing aangezien sommige wel weten hoe je dit moet wissen.
Keylogger hoef ik niet. Die loggen alles wat je aanslaat, zelfs de passwords. Dat is wel inbruik op privacy naar mijn mening.

Wat de windows 2003 server (ja met officieel licentie, voordat sommige hierover gaat zeiken) doet is voor jullie niet van toepassing. Ik kan wel zeggen dat hier diverse "servers" op draaien voor de software op de clients en een centrale database voor de klanten.

Waarom is een log dit bijhoudt welke programma's er geopend zijn en afgesloten zijn zo "...." ?
Gewoon iets in de richting van:
10:12 : C:\Program Files\Bla1\Bla2.exe [Open]
10:15 : C:\Program Files\Bla1\Bla2.exe [Closed]

Dat "seven" geval ken ik al in me jeugd toen we dat gingen verstoppen in andere bestanden en over allerlei chatprogramma verspreiden. Was leuk geweest, maar is niet de oplossing.

donderdag 4 juni 2009 22:44

Acties:

tc982

The Conman schreef op donderdag 04 juni 2009 @ 21:45:
Reden hiervan is omdat er een aantal gebruikers allerlei websites bezoeken (waaronder porno) op het werk.

Dan heb je Websense nodig.

Computers make very fast, very accurate mistakes.

vrijdag 5 juni 2009 00:05

Acties:

Turdie

The Conman schreef op donderdag 04 juni 2009 @ 21:45:
Even voor de duidelijkheid.
Ik vraag slechts om wat suggesties. Niet voor commentaar of andere afkraakverhaaltjes.
Wat een W2003 server doet met 7 clients, is niet van belang en heb hier ook geen vragen over gesteld.

De medewerkers weten allemaal dat wij dit binnenkort zullen toepassen.
Reden hiervan is omdat er een aantal gebruikers allerlei websites bezoeken (waaronder porno) op het werk.
Wij willen kunnen achterhalen wie dit doen en hun kunnen waarschuwen.

Inbreuk op privacy is het niet helemaal.
Je kan net zo goed elke dag bij alle computers de geschiedenis van firefox/IE teruglezen.
Maar dat is geen goede oplossing aangezien sommige wel weten hoe je dit moet wissen.
Keylogger hoef ik niet. Die loggen alles wat je aanslaat, zelfs de passwords. Dat is wel inbruik op privacy naar mijn mening.

Wat de windows 2003 server (ja met officieel licentie, voordat sommige hierover gaat zeiken) doet is voor jullie niet van toepassing. Ik kan wel zeggen dat hier diverse "servers" op draaien voor de software op de clients en een centrale database voor de klanten.

Waarom is een log dit bijhoudt welke programma's er geopend zijn en afgesloten zijn zo "...." ?
Gewoon iets in de richting van:
10:12 : C:\Program Files\Bla1\Bla2.exe [Open]
10:15 : C:\Program Files\Bla1\Bla2.exe [Closed]

Of ISA Server 2006. Zie hier hoe je dat kunt in regelen

En hier kun je zien hoe je in logs in regelt, dat je ziet welke sites de users bezoeken User Logging

Als je bedrijf het geld er voor over heeft, zou ik een ISA Specialist inhuren. Of een Websense specialist, dat het helemaal goed wordt opgezet. Dan hoef je niet te loggen, dan kunnen ze het gewoon niet, lijkt mij nog beter.

Je zou ook kunnen kiezen voor een SonicWall applicance, daar heb ik zelf erg goede ervaringen mee. Heb je net zoals bij ISA meteen een firewall.

Applicaties kun je restricten met software restriction policy's onderdeel van GPO's, dan kunnen je stoute usertjes alleen software draaien die jij defineert

.

[ Voor 20% gewijzigd door Turdie op 05-06-2009 00:20 ]

vrijdag 5 juni 2009 08:25

Acties:

LuckY

Hoe ziet je netwerk eruit ?
Modem=>firewall=>router=>switch ?
één range, kijk eens naar PRTG traffic grapher.... ( en afaik is het wel inbreuk op de privacy zonder dat hun het weten en/of voor getekend hebben) maar dat weet je rechtsbijstand/advocaat wel

Tevens heb je dingen als netmonitor of je router/firewall die dat kan zien (SNMP/netflow).
En dan nog heb je maar een computer naam/ipadress... Wie zegt dat die persoon het ook daadwerkelijk is (rdp/even achter iemand anders zijn systeem)
Wat jij nodig heb ik geen monitoring maar blocking tool DMV een proxy o.i.d.

[ Voor 24% gewijzigd door LuckY op 05-06-2009 08:42 ]