Tracciamento di un account utente

1

Ciao Sospetto che un ex dipendente della compagnia per cui lavoro abbia ancora accesso ai server, infatti sono sicuro che lo faccia. Quando lasciò la compagnia a dicembre, trascurò di rimuovere i suoi file personali da uno dei nostri server. L'ho contattato e l'ho reso consapevole. Quando ho controllato le cartelle ho visto che i file non erano più lì.

Effettuare una ricerca sui dischi rigidi per i file modificati in quel periodo ha rivelato che le cartelle sono state modificate da un utente (è solo una stringa di numeri - non il dominio \ nome utente come ciò che normalmente appare). Ho inviato il numero al nostro dipartimento IT e hanno semplicemente fatto spallucce e hanno detto che l'account utente non esiste. Secondo la data in cui la cartella è stata letta da questo account utente, è stato qualche volta la sera, quando so che nessun altro sarebbe stato collegato a quel server.

Tutto questo è successo negli ultimi 2 giorni. La mia domanda: dove posso trovare maggiori informazioni su questo account utente? C'è un registro che mostra all'utente e quali azioni sono state intraprese?

Il computer esegue Windows Server 2003 SP1. Mi collego a distanza.

    
posta 24.03.2011 - 13:45
fonte

2 risposte

5

La mia domanda: dove posso trovare maggiori informazioni su questo account utente? C'è un registro che mostra all'utente e quali azioni sono state intraprese?

Il mio pensiero: qual è il tuo scopo nel raccogliere le informazioni? Come e cosa fai dopo, ha molto a che fare con ciò che vuoi che accada. Ecco i miei pensieri sui risultati opzionali:

  • perseguilo - a questo punto, è un attaccante che provoca danni palesi alla tua azienda. Hai il diritto di indagare sulle azioni legali e, anche se non è ancora successo nulla di pericoloso, potresti voler riservare il diritto di agire in futuro. Se questo è il caso, si vuole considerare questo l'area della medicina legale digitale. Per perseguire i crimini informatici, è necessaria una solida catena di prove e un'accurata raccolta di prove è fondamentale. Per fare ciò, inizia a coinvolgere la direzione, gli avvocati e un team forense professionista. Esegui un pasticcio non con la macchina. Affatto. Se puoi, disconnettilo dalla rete e consulta le opzioni per creare un sistema di sostituzione pulito su hardware separato.

  • Ripristina da qualsiasi cosa egli abbia fatto - "qualsiasi cosa" è una grande area. Le probabilità sono buone che non otterrai tutto. Se riesce a raggiungere un server, c'è una buona possibilità che possa arrivare agli altri, e se è a conoscenza della tua infrastruttura, hai un compito difficile da affrontare. Non penso che il file di registro della macchina possa aiutare molto. Qualcuno dovrà eseguire il backup, esaminare la serie di codici di accesso, i compiti di lavoro, le aree di responsabilità e i luoghi a cui può o non potrebbe aver avuto accesso. Ciò avverrà a livello di amministratore di sistema - si spera che nell'infrastruttura vengano presi i diritti di amministratore per collegare questi buchi e ripristinare i sistemi.

  • Blocca il suo accesso : ti consiglio comunque di ricostruire l'ambiente, se sospetti solo un piccolo compromesso. Le porte posteriori e i fori sono abbastanza facili da installare da un insider, che consiglio di ricostruire.

  • autoilluminazione - cioè, non sei davvero interessato a tutte le implicazioni sulla sicurezza, sei solo curioso di sapere della tecnologia - temo di non essere abbastanza Amministratore di Windows per dirti più dell'ovvio, che hai già provato. A seconda della configurazione del sistema, potrebbero esserci altri registri di accesso: il sistema remoto che si usa per accedere potrebbe registrare informazioni altrove, se esiste una VPN, che potrebbe avere registri di accesso, ecc. Un sistema di sicurezza di fascia alta potrebbe avere backup offline con maggiore integrità e controlli di accesso - ma dipende da come è stato configurato il tuo sistema.

Per rispondere a parte - non è un ricatto se offri assistenza?

Sei nell'acqua torbida. Secondo Ricatto ed estorsione - Statuti federali moderni - Ufficiale, Atto, Corte, Hobbs, United e Interstate

It is blackmail to demand or receive a valuable thing by offering not to inform against 

anyone who has violated federal law (18 U.S.C. § 873).

Da lì, è probabile che le parole particolari che hai usato siano un fattore nel fatto che la tua offerta di mutuo soccorso potrebbe o non potrebbe essere interpretata in questo modo.

Posso dirti che, almeno nella mia compagnia, i miei capi sarebbero piuttosto irritati se gestissi le cose come te. Ma lavoro in un'azienda con una politica di sicurezza molto rigida e ben definita. Se sospettavo una violazione, il mio lavoro come membro della società sarebbe quello di portarlo a sufficiente attenzione per ottenere la correzione dalla società - compresi IT, legale e la catena di comando nella gestione. Prendere su di me l'idea di offrire a un ex dipendente l'accesso ai suoi file personali e ripulire i buchi di sicurezza lasciati alle spalle è MODALITÀ oltre l'ambito delle cose che mi è concesso fare come guida dell'ingegnere del mulino. Personalmente, mi aspetterei di fare schiaffi in più, perché mi sono allenato molto in questa roba, e non posso davvero affermare di essere un novizio o un nerd non protetto non sicuro.

Detto questo - lavoro in una grande azienda con un enorme interesse in buone pratiche di sicurezza - non riuscire a imporre un strong paradigma di sicurezza non è solo un rischio a causa della potenziale perdita di informazioni o funzionalità derivanti da violazioni, con una violazione della sicurezza pubblico sarebbe dannoso per la nostra reputazione aziendale.

La tua situazione potrebbe variare: se lavori in una piccola startup con un profilo basso e non nel settore della sicurezza, la tua azienda potrebbe essere totalmente a posto con ciò che hai fatto.

In ogni caso, il mio miglior consiglio sarebbe quello di far intervenire la tua gestione diretta al più presto possibile. Anche se non capiscono la situazione tecnica della violazione della sicurezza dell'ex dipendente, dovrebbero (per iscritto) mostrare la loro approvazione o disapprovazione al modo in cui gestiscono la situazione fino ad ora.

    
risposta data 24.03.2011 - 21:31
fonte
8

Se era un amministratore di sistema, non puoi più fare affidamento su nulla su quella casella, poiché potrebbe aver avuto la possibilità di cambiare qualcosa.

Devi indirizzare la questione al tuo team IT o di risposta agli incidenti - il danno potrebbe non essere limitato a loro solo eliminando le prove, una precauzione ragionevole potrebbe essere quella di cancellare e ricostruire la scatola, a seconda della sua sensibilità.

Se si dispone di backup o registri di controllo, il team di risposta agli incidenti dovrebbe chiedere che vengano conservati. Devi elencare una sequenza temporale di tutto ciò che è stato fatto, incluse tutte le email con l'individuo ecc.

Il team di risposta agli incidenti dovrebbe anche essere in grado di ottenere le persone corrette coinvolte per esaminare il punto di vista legale - potrebbe non essere utile procedere con un'indagine, ma si tratta di una chiamata di lavoro, non di una chiamata IT.

    
risposta data 24.03.2011 - 14:53
fonte

Leggi altre domande sui tag