---

Hej alle

Jeg har en mistanke om at rengøringsmanden som mit firma har hyret forsøger
at logge på nætværket når han tirsdag aften gør rent hos os.

Der er gentagne gange sket det at jeg møder onsdag morgen, og min PC'ere er
tændt. "Ok, jeg har måske glemt at slukke den" tænker jeg så første gang
..... måske også anden gang det sker .... men tredje gang, så er der sgu
noget galt !.

Dette kommer jeg så til at nævne til et møde og 2 af mine kollegaer ser
forbavsede på mig, og siger at de har oplevet det samme ! Nu kan det næsten
ikke være en tilfældighed mere.

Vores system består af 10 XP pro klienter og 1 Win2000 server som fungerer
som domæne server

Det skal siges at password's til netværket ikke har overholdt nogen form for
sikkerhed ... før nu !

Nu vil jeg gerne afsløre om maskinerne tændes tirsdag aften, og om der
forsøges at logge på netværket - hvordan gør jeg det ?

Rengøringsmanden må ikke vide at hans adfærd bliver "logget" på maskinerne,
ok han undrer sig nok over de nye passwords - men alligevel !

Er der, her i gruppen, nogen der har gode ideer til hvordan jeg bedst
monitorerer hvorvidt maskinerne tændes efter arbejde ?

Mvh Neo

---

Neo wrote:
> Hej alle
>
> Jeg har en mistanke om at rengøringsmanden som mit firma har hyret forsøger
> at logge på nætværket når han tirsdag aften gør rent hos os.

Dette problem har jeg også hørt om - ikke her på stedet.

"Årsagen" var, at PC'erne var sat til at tænde, når man
trykkede på en tast på tastaturet.

Dette skete fx når rengøringen kom for tæt på
med en klud...

At det sker på flere af jeres maskiner kan måske
tale for, at det er det, der er problemet.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

"Mogens Kjaer" <mk@crc.dk> skrev i en meddelelse
news:41E66972.1080403@crc.dk...
> Neo wrote:
> > Hej alle
> >
> > Jeg har en mistanke om at rengøringsmanden som mit firma har hyret
forsøger
> > at logge på nætværket når han tirsdag aften gør rent hos os.
>
> Dette problem har jeg også hørt om - ikke her på stedet.
>
> "Årsagen" var, at PC'erne var sat til at tænde, når man
> trykkede på en tast på tastaturet.
>
> Dette skete fx når rengøringen kom for tæt på
> med en klud...
>
> At det sker på flere af jeres maskiner kan måske
> tale for, at det er det, der er problemet.
>
> Mogens

Hej Mogens

Dette er med garanti ikke årsagen her idet den funktion er slået fra på alle
maskiner.

Der kan altså kun tændes for maskinerne ved at aktivere kontakten på
chassiet !

Det der også er lidt underligt er at en brugers skærmopløsning var sat til
800x600, normalt kører han 1024x768 !

Mvh Neo

---

On Thu, 13 Jan 2005 13:59:22 +0100, Neo wrote:

> Dette er med garanti ikke årsagen her idet den funktion er slået fra på alle
> maskiner.
>
> Der kan altså kun tændes for maskinerne ved at aktivere kontakten på
> chassiet !

Starter dine maskiner op, hvis du afbryder strømmen på væggen og
slutter den til igen?

--
Morten Bakkedal
http://www.bakkeland.dk/

---

"Morten Bakkedal" <nobody@bakkeland.dk> skrev i en meddelelse
news:pan.2005.01.13.13.39.22.59294@bakkeland.dk...
> On Thu, 13 Jan 2005 13:59:22 +0100, Neo wrote:

> Starter dine maskiner op, hvis du afbryder strømmen på væggen og
> slutter den til igen?
>
> --
> Morten Bakkedal
> http://www.bakkeland.dk/


Hej Morten

Nej det gør de ikke ... AC Power Loss Restart = disablet i BIOS

Mvh Neo

---

"Mogens Kjaer" <mk@crc.dk> skrev i en meddelelse
news:41E66972.1080403@crc.dk...
> Neo wrote:
>> Hej alle
>>
>> Jeg har en mistanke om at rengøringsmanden som mit firma har hyret
>> forsøger
>> at logge på nætværket når han tirsdag aften gør rent hos os.
>
> Dette problem har jeg også hørt om - ikke her på stedet.
>
> "Årsagen" var, at PC'erne var sat til at tænde, når man
> trykkede på en tast på tastaturet.
>
> Dette skete fx når rengøringen kom for tæt på
> med en klud...
>
> At det sker på flere af jeres maskiner kan måske
> tale for, at det er det, der er problemet.

Jep, slå hellere kold vand i blodet Neo og tro ikke det værste om din
rengøringsmand inden du ved mere.. ;)

--
Vh. Henrik Sørensen.

---

"Neo" <neo___dk@hotmail.removethis.com> wrote:

>Jeg har en mistanke om at rengøringsmanden som mit firma har hyret forsøger
>at logge på nætværket når han tirsdag aften gør rent hos os.

Der kan nu være flere årsager til at maskinerne er tændt når du møder om
morgenen...

- De kan være opsat i BIOS til at starte på et bestemt tidspunkt, f.eks
hverdage kl 7:50 - Det har man f.eks valgt at gøre på min arbejdsplads.

- Serveren kan starte maskinerne via WOL i backup sammenhænge

- Endelig kan maskiner nogle gange 'starte sig selv' - Et par af
maskinerne på mit lokalnet starter op hvis min bredbåndsrouter
genstarter. Spørg mig ikke hvorfor, men det har igen noget at gøre med
WOL. For de-aktiverer jeg WOL starter de ikke længere af sig selv..


Under alle omstændigheder bør du checke serverens logfiler for
uautoriseret netværksaktivitet. Men jeg tror du vil opdage at
rengøringsmanden er helt uskyldig....




<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

"Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i en meddelelse
news:76rcu09ni7humq6lrham4lhtu69vh72g17@4ax.com...
> "Neo" <neo___dk@hotmail.removethis.com> wrote:

snip

> - De kan være opsat i BIOS til at starte på et bestemt tidspunkt, f.eks
> hverdage kl 7:50 - Det har man f.eks valgt at gøre på min arbejdsplads.

Der er med garanti ikke valgt at starte maskinerne på et forud bestemt
tidspunkt
>
> - Serveren kan starte maskinerne via WOL i backup sammenhænge

Serveren kører også som fil server derfor er der ikke brug for at starte
maskinerne for backup formål

> - Endelig kan maskiner nogle gange 'starte sig selv' - Et par af
> maskinerne på mit lokalnet starter op hvis min bredbåndsrouter
> genstarter. Spørg mig ikke hvorfor, men det har igen noget at gøre med
> WOL. For de-aktiverer jeg WOL starter de ikke længere af sig selv..

wol er med garanti slået fra (disablet) på alle maskiner

> Under alle omstændigheder bør du checke serverens logfiler for
> uautoriseret netværksaktivitet. Men jeg tror du vil opdage at
> rengøringsmanden er helt uskyldig....

For en god ordens skyld skal jeg lige nævne at jeg er administrator på
netværket, alle maskiner er samlet og konfigureret af mig selv, al software
er installeret af mig, og fænomenet med tændte maskiner er først nu dukket
op efter skift af rengøringsfirma.

med dette i tankerne mener jeg at jeg med sikkerhed kan sige at det er
rengøringsmanden der "piller", jeg mangler blot en skudsikker metode til at
bevise det med ! - håber stadig på lidt hjælp til dette !

Mvh Neo

---

"Neo" <neo___dk@hotmail.removethis.com> wrote:

>For en god ordens skyld skal jeg lige nævne at jeg er administrator på
>netværket, alle maskiner er samlet og konfigureret af mig selv, al software
>er installeret af mig, og fænomenet med tændte maskiner er først nu dukket
>op efter skift af rengøringsfirma.
>
>med dette i tankerne mener jeg at jeg med sikkerhed kan sige at det er
>rengøringsmanden der "piller", jeg mangler blot en skudsikker metode til at
>bevise det med ! - håber stadig på lidt hjælp til dette !

Som administrator har du jo fuld adgang til alle logfiler, og så burde
det ikke være svært at finde tid og sted for uautoriserede logon
forsøg...





<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

> Som administrator har du jo fuld adgang til alle logfiler, og så burde
> det ikke være svært at finde tid og sted for uautoriserede logon
> forsøg...

Det har jeg ganske rigtigt også.

Og jeg har lige kigget, der er ganske rigtigt 3 logon attempts efter
fyraften i tirsdags i mellem 20:00 og 22:00 desværre fremkommer følgende
beskrivelse:

"Dynamic registration or deregistration of one or more DNS records failed
because no DNS servers are available. "

og det er noge pis ...

.... et lille problem jeg har med min DNS server som jeg desværre ikke har
fået rettet endnu

Mvh Neo

---

"Neo" <neo___dk@hotmail.removethis.com> skrev i en meddelelse
news:41e67724$0$162$edfadb0f@dtext01.news.tele.dk...

> med dette i tankerne mener jeg at jeg med sikkerhed kan sige at det er
> rengøringsmanden der "piller", jeg mangler blot en skudsikker metode til
> at
> bevise det med ! - håber stadig på lidt hjælp til dette !

Slå Audit til på din server, så kan du i eventloggen se om der har været
forsøg på login, om de er lykkedes eller ej (alt efter hvordan du sætter det
op)
samt tidspunktet.
--
Peter J

---

Hej

Kunne det tænkes at han er grundig med at støve/tørre maskinen af og
kommer til at ramme powerknappen... det er jo ikke særlig ofte at
producenterne af kasser til sådanne pc'ere undersænker powerknappen,
så hvis han lige køre kluden henover kassen.....



--
Hilsen
Mikkel Rømer Jespersen

---

"Neo" <neo___dk@hotmail.removethis.com> crashed Echelon writing
news:41e66120$0$176$edfadb0f@dtext01.news.tele.dk:

> Nu vil jeg gerne afsløre om maskinerne tændes tirsdag aften, og om der
> forsøges at logge på netværket - hvordan gør jeg det ?
>
> Rengøringsmanden må ikke vide at hans adfærd bliver "logget" på
> maskinerne, ok han undrer sig nok over de nye passwords - men
> alligevel !

Bed din IT afdeling lave en GPO som auditerer forkerte logons (logon
failures), hvis I vel og mærke kører Microsoft miljø.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen <usenet@*spammer*bjoeg.dk> crashed Echelon writing
news:Xns95DD9A7D06DB9bjoegdk@130.225.247.90:

> hvis I vel og mærke kører Microsoft miljø.

Hvilket I jo gør som jeg lige har snøvlet mig til at læse.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Neo wrote:
> Der er gentagne gange sket det at jeg møder onsdag morgen, og min
> PC'ere er tændt.

De gange, hvor jeg har oplevet det, så har det altid været en an mine
kolleger, der lige skulle bruge en PC efter, at jeg var gået hjem - og bare
havde brugt den første og bedste PC - og så glemt at slukke.....

Men som andre nævner, så kan du checke din netværks-log og finde ud af det
nøjagtige tidspunkt, hvor der har været forsøgt logon - og så kan du vel
finde ud af, hvem der var der på det tidspunkt.

Eller spørg dog rengøringsmanden - du behøver jo ikke antyde, at det er ham,
der har været inde - du kan bare nævne at nogle PC'er har været tændt om
morgenen, og spørge om han tilfældigvis har set nogle personer i lokalerne
om aftenen, der kan have glemt at slukke.......

Jan

--
Jan Vestergaard, Kildedalen 27, 3400 Hillerød
Email: jan@jve.invalid Web: www.jve.dk
Erstat invalid med dk ved mail - men indlæg bør besvares i gruppen.

---

Neo wrote:
> Hej alle
>
> Jeg har en mistanke om at rengøringsmanden som mit firma har hyret forsøger
> at logge på nætværket når han tirsdag aften gør rent hos os.
>
> Der er gentagne gange sket det at jeg møder onsdag morgen, og min PC'ere er
> tændt. "Ok, jeg har måske glemt at slukke den" tænker jeg så første gang
> .... måske også anden gang det sker .... men tredje gang, så er der sgu
> noget galt !.
>
> Dette kommer jeg så til at nævne til et møde og 2 af mine kollegaer ser
> forbavsede på mig, og siger at de har oplevet det samme ! Nu kan det næsten
> ikke være en tilfældighed mere.
>
> Vores system består af 10 XP pro klienter og 1 Win2000 server som fungerer
> som domæne server
>
> Det skal siges at password's til netværket ikke har overholdt nogen form for
> sikkerhed ... før nu !
>
> Nu vil jeg gerne afsløre om maskinerne tændes tirsdag aften, og om der
> forsøges at logge på netværket - hvordan gør jeg det ?
>
> Rengøringsmanden må ikke vide at hans adfærd bliver "logget" på maskinerne,
> ok han undrer sig nok over de nye passwords - men alligevel !
>
> Er der, her i gruppen, nogen der har gode ideer til hvordan jeg bedst
> monitorerer hvorvidt maskinerne tændes efter arbejde ?
>
> Mvh Neo

Hvad med at kigge i event view'eren på de enkelte maskiner? Så kan du
måske få et billede af hvordan/hvornår de maskinerne er startet op.

Du kan også prøve at checke om filer er ændret i det tidsrum du mener
det foregår. Lav evt. en søgning på på filer, der ændret en bestemt dag
og check om filer er blevet ændret i pågældende tidsrum.

Hvad med at sætte et webcam op et sted?

--
Mvh
Jeppe

We have unmistakable proof that throughout all past time, there has been
a ceaseless devouring of the weak by the strong.

---

> Hvad med at kigge i event view'eren på de enkelte maskiner? Så kan du
> måske få et billede af hvordan/hvornår de maskinerne er startet op.
>
> Du kan også prøve at checke om filer er ændret i det tidsrum du mener
> det foregår. Lav evt. en søgning på på filer, der ændret en bestemt dag
> og check om filer er blevet ændret i pågældende tidsrum.

god ide ... det vil jeg prøve .. tak for det !

> Hvad med at sætte et webcam op et sted?

Det var også min første indskydelse ... men det vil min chef ikke have ...
han er generelt imod overvågning på den måde, samt er det vist heller ikke
lovligt !

Mvh Neo

> --
> Mvh
> Jeppe
>
> We have unmistakable proof that throughout all past time, there has been
> a ceaseless devouring of the weak by the strong.

---

Hej Neo

Ikke for at sætte din rengøringsmanden i dårligt lys, for som så mange
er inde på, det er måske ikke ham !!!

Alligevel vil jeg da nævne, at jeg har førstehånds kendskab til et firma
der oplevede noget lignende, dog var pc'erne slukket når personalet
mødte. Det som undrede de netværks ansvarlige var at der var en del net
aktivitet på tidspunkter hvor der normalt ikke skulle være det. Det
viste sig at rengøringsmanden sad og surfede porno på internettet,
hvilket han også senere erkendte og derfor valgte selv at sige op.

Mvh Peter

---

>
>> Hvad med at sætte et webcam op et sted?
>
> Det var også min første indskydelse ... men det vil min chef ikke have ...
> han er generelt imod overvågning på den måde, samt er det vist heller ikke
> lovligt !
>
Jo det er lovlig, hvis der er skiltet med vidio overvågning.

JJ

---

Hvad med at installere en keylogger på pc´en?
Feks. Blazing tools perfect keylogger.
Michael

---

In article <41e66120$0$176$edfadb0f@dtext01.news.tele.dk>, Neo wrote:
> Er der, her i gruppen, nogen der har gode ideer til hvordan jeg bedst
> monitorerer hvorvidt maskinerne tændes efter arbejde ?

Loggen på DHCP Servern

+ enable log af logon/logoff og check event loggen på DC'en.
Fanger også mislykkede forsøg
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk