23.08.2025, 19:20
Sprache ändern
Registrieren
Anmelden
Sie sind nicht angemeldet.
Claudandus_3N
Senior Member
Zugriff auf nicht gespeicherte Dateien / Ausdrücke
Donnerstag, 1. Dezember 2005, 20:35
Das ist kein Krimi-Spiel oder ähnliches, sondern (leider) passiert.
Thema:
2 Zugriffe auf 1 System; Datei / Ausdruck wiederherstellen, der nicht gespeichert wurde!
Szenario:
Windows 2000 (NTFS), SP4; Office 2000 Standard; Laserdrucker
2 Personen benutzen das gleich Login (Konto hat lokale Administrator-Rechte)!
Der PC wird nicht neu gestartet / abgemeldet, nur gesperrt!
Zeitraum zwischen den Zugriffen mind. 5 Stunden, maximal 22 Tage!
Vorfall:
Person1 startet Word.exe (Standard-Installation, keine Vorlagen!) und tippt einen Text über einen Zeitraum von 45-60 Minuten. Die Datei wird nie! zwischengespeichert und der PC ist immer nur Person1 zugänglich, welche allein im Raum ist. Dann wird der Text über den Drucker ausgedruckt, Word.exe beendet und beim Fragen nach Speichern verneint. Der Ausdruck wird in sofort in einen Briefumschlag gesteckt und per Post an einen Dritten verschickt (keine Überbringer, keine Hauspost!).
Wenige Tage später, meldet sich Person2 bei Person1 und kennt den Inhalt des geschriebenen Textes!
Frage:
Wie ist das möglich?? ???
Theorie 1:
Fakt: Word erstellt in der Standardkonfiguration alle 10 Minuten ein Abbild einer Datei in Bearbeitung (~$%Dateiname%.doc) am gleichen Speicherort.
Frage: Wo ist dieser Speicherort bei einer ungespeicherten Datei? Wie lange verweilen die Dateien dort?
Theorie 2:
Fakt: Der Drucker erstellt im Falle eines abgebrochenen / fehlgeschlagenen Druckjobs zumindest eine Liste der ausstehenden Aufträge (im Drucker selbst; lässt sich mit wenig Aufwand aufrufen).
Frage: Sind die kompletten Ausdrücke im Drucker (oder vielleicht in Windows) zwischengespeichert und lassen sich später wiederholen? Stichwort Druckerspool (hat mir selbst nicht viel geholfen, passt imo trotzdem in meine Theorie)!
Generelle Frage: Person2 ist eigentlich DAU erster Güte. Ist es warscheinlicher, dass er/sie mit dem Briefträger geschlafen hat? Ich wäre wirklich dankbar, falls jemand ne Idee haben sollte! Falls Person2 über den PC an die Daten gekommen ist, steht eine (die letzte...) Abmahnung ins Haus; zurecht >
mfg.
Thema:
2 Zugriffe auf 1 System; Datei / Ausdruck wiederherstellen, der nicht gespeichert wurde!
Szenario:
Windows 2000 (NTFS), SP4; Office 2000 Standard; Laserdrucker
2 Personen benutzen das gleich Login (Konto hat lokale Administrator-Rechte)!
Der PC wird nicht neu gestartet / abgemeldet, nur gesperrt!
Zeitraum zwischen den Zugriffen mind. 5 Stunden, maximal 22 Tage!
Vorfall:
Person1 startet Word.exe (Standard-Installation, keine Vorlagen!) und tippt einen Text über einen Zeitraum von 45-60 Minuten. Die Datei wird nie! zwischengespeichert und der PC ist immer nur Person1 zugänglich, welche allein im Raum ist. Dann wird der Text über den Drucker ausgedruckt, Word.exe beendet und beim Fragen nach Speichern verneint. Der Ausdruck wird in sofort in einen Briefumschlag gesteckt und per Post an einen Dritten verschickt (keine Überbringer, keine Hauspost!).
Wenige Tage später, meldet sich Person2 bei Person1 und kennt den Inhalt des geschriebenen Textes!
Frage:
Wie ist das möglich?? ???
Theorie 1:
Fakt: Word erstellt in der Standardkonfiguration alle 10 Minuten ein Abbild einer Datei in Bearbeitung (~$%Dateiname%.doc) am gleichen Speicherort.
Frage: Wo ist dieser Speicherort bei einer ungespeicherten Datei? Wie lange verweilen die Dateien dort?
Theorie 2:
Fakt: Der Drucker erstellt im Falle eines abgebrochenen / fehlgeschlagenen Druckjobs zumindest eine Liste der ausstehenden Aufträge (im Drucker selbst; lässt sich mit wenig Aufwand aufrufen).
Frage: Sind die kompletten Ausdrücke im Drucker (oder vielleicht in Windows) zwischengespeichert und lassen sich später wiederholen? Stichwort Druckerspool (hat mir selbst nicht viel geholfen, passt imo trotzdem in meine Theorie)!
Generelle Frage: Person2 ist eigentlich DAU erster Güte. Ist es warscheinlicher, dass er/sie mit dem Briefträger geschlafen hat? Ich wäre wirklich dankbar, falls jemand ne Idee haben sollte! Falls Person2 über den PC an die Daten gekommen ist, steht eine (die letzte...) Abmahnung ins Haus; zurecht >
mfg.
Claudandus_3N
Senior Member
Re: Zugriff auf nicht gespeicherte Dateien / Ausdr
Donnerstag, 1. Dezember 2005, 22:39
Zitat von »Weihnachts-Shoggy«
Keylogger :
edit: vielleicht hat er einfach mit einem File Recovery Tool die Zwischenspeicherung wiederbelebt.
einen keylogger (unbemerkt) zu installieren (und wieder zu entfernen) ohne spure zu hinterlassen (ereignislogs; registry, wiederherstellungspunkte etc. säubern) erwarte ich nicht von jemandem, der sonst kaum ahnung hat. ich werde trotzdem nochmal nach resten suchen!
der account hat übrigens nur durch ein versehen adminrechte bekommen! das wussten weder die user, noch die admins!
recovery tool: gespeicherte daten: ja; ungespeicherte : wo sind die wiederherzustellenden "speicherorte"?
ist jedenfalls noch ne möglichkeit, wobei auch hier in der regel spuren bleiben.
mfg.
Erkaeltung
God
Re: Zugriff auf nicht gespeicherte Dateien / Ausdr
Freitag, 2. Dezember 2005, 17:00
Hi !
Ja ,Word speichert automatisch. Kann man aber afaik auch abstellen. Guck nach ob es so ist. Kann man außerdem ausprobieren.
Unter "Datei" stehen doch grundsätzlich immer die zuletzt geöffneten Dokumente/Dateien. Einfach draufgeklickt und es ist da. Ganz einfach.
Das verwirrt mich ein bißchen :
" 2 Personen benutzen das gleich Login (Konto hat lokale Administrator-Rechte)!"
-Dürfen denn beide den Account nutzen oder nicht ?
Wenn Person2 den Rechner eigentlich nicht benutzen darf, dann ist eine Abmahnung vielleicht gerechtfertigt. Wenn sie es aber darf und nur "zufällig" draufgeklickt hat ,dann ist Person1 auf jedenfall mitverantwortlich weil er/sie vertrauliche Daten nicht sorgfälltig geschützt hat.
Wenn der Admin dem "Account" Adminrechte erteilt hat dann ist der Admin eher selber ein DAU....naja... :
Ja ,Word speichert automatisch. Kann man aber afaik auch abstellen. Guck nach ob es so ist. Kann man außerdem ausprobieren.
Unter "Datei" stehen doch grundsätzlich immer die zuletzt geöffneten Dokumente/Dateien. Einfach draufgeklickt und es ist da. Ganz einfach.
Das verwirrt mich ein bißchen :
" 2 Personen benutzen das gleich Login (Konto hat lokale Administrator-Rechte)!"
-Dürfen denn beide den Account nutzen oder nicht ?
Wenn Person2 den Rechner eigentlich nicht benutzen darf, dann ist eine Abmahnung vielleicht gerechtfertigt. Wenn sie es aber darf und nur "zufällig" draufgeklickt hat ,dann ist Person1 auf jedenfall mitverantwortlich weil er/sie vertrauliche Daten nicht sorgfälltig geschützt hat.
Wenn der Admin dem "Account" Adminrechte erteilt hat dann ist der Admin eher selber ein DAU....naja... :
Claudandus_3N
Senior Member
Re: Zugriff auf nicht gespeicherte Dateien / Ausdr
Samstag, 3. Dezember 2005, 00:35
Hi,
ich hab' mal die WORDs (verschiedene Versionen) ein wenig gequält ....
Es gibt eigentlich nur einen DAU-kompatiblen Weg: User#1 hatte den Text ganz oder teilweise in die Office-Zwischenablage kopiert (copy/cut/paste).
Diese ist nämlich "Boot-Resistent".
BTW: Wenn mehrere User den selben Account benutzen, ist Handeln angesagt.
Minimale Passwort-Länge und -Komplexität, sowie maximales Alter (alles per GPO einzustellen) hilft bereits recht zuverlässig gegen diese Unsitte.
mfg, Thomas
Nachtrag - hatte ich vergessen:
Im lokalen $spool-Verzeichnis sollten die Daten garnicht auftauchen - wenn doch: Druckeranbindung überdenken und zuständigen Admin verkloppen.
- Die Copy/Paste Idee ist nicht schlecht!
- Der Account soll leider von mehreren Leuten genutzt werden (Dauerverfügbarkeit; Krankenhaus!).
Ich habe da keine Entscheidungsgewalt, bin nur der, der "aufräumen" soll
Hi !
Ja ,Word speichert automatisch. Kann man aber afaik auch abstellen. Guck nach ob es so ist. Kann man außerdem ausprobieren.
Unter "Datei" stehen doch grundsätzlich immer die zuletzt geöffneten Dokumente/Dateien. Einfach draufgeklickt und es ist da. Ganz einfach.
Das verwirrt mich ein bißchen :
" 2 Personen benutzen das gleich Login (Konto hat lokale Administrator-Rechte)!"
-Dürfen denn beide den Account nutzen oder nicht ?
Wenn Person2 den Rechner eigentlich nicht benutzen darf, dann ist eine Abmahnung vielleicht gerechtfertigt. Wenn sie es aber darf und nur "zufällig" draufgeklickt hat ,dann ist Person1 auf jedenfall mitverantwortlich weil er/sie vertrauliche Daten nicht sorgfälltig geschützt hat.
Wenn der Admin dem "Account" Adminrechte erteilt hat dann ist der Admin eher selber ein DAU....naja... :
Diese Recent-Liste ist mir natürlich bekannt. Nur stehen dort nur Links auf Dateien drin. Da reicht simples Datei löschen um Missbrauch zu verhindern. Nur wurde hier die Datei nicht gespeichert. Auto-Speiichern ist wie gesagt aktiviert gewesen. Nur finde ich keine Temps der Datei (hab ja nichtmal nen Namen zum danach suchen, da keine Speicherung).
Zum Thema DAU: würde meine Rolle eher als DVD (DeppvomDienst; auch bekannt als Azubi) beschreiben. Support mach ich bei denen; beim "Mit LoginSkripten Spielen" großzügig über's Haus Adminrechte vergeben, hat einer meiner "Über-Admins" sich ausgedacht :
.