Einrichtung von EnCase im Laborumfeld

In einem Online-Seminar gibt Michael Gurzi Hinweise zum Aufbau eines IT-Forensik Labors. Er demonstriert dabei ausführlich die Installation des Network Authentication Servers für die Analysesoftware EnCase.

Michael Gurzi ist Vice President der Guidance Software Professional Services. Es kann deshalb kaum überraschen, dass im Mittelpunkt seines Online-Seminars das von Guidance Software produzierte Programm EnCase steht.

Das ca. 40-minütige Online-Seminar ist kostenlos erhältlich, für die Wiedergabe ist der WebEx Player erforderlich.

Gurzi beschreibt zunächst die wichtigsten Grundlagen für den Aufbau eines Labors. Mit knappen Worten streift er dabei administrative Aspekte wie Standardprozeduren und die Dokumentation von Arbeitsabläufen.

Auch bauliche Maßnahmen spricht er kurz an. Hier ist auf eine Zutrittssicherung mit Protokollfunktion zu achten. Für die Untersuchung empfiehlt er klimatisierte, fensterlose Räume. Neben dem Arbeitsbereich sollte sich ein kontrollierter Lagerraum für Asservate und Arbeitskopien befinden.

Der Analysebereich besteht aus einem physisch von anderen Netzen, insbesondere dem Internet, getrennten LAN. Die Daten lassen sich in einem SAN speichern. Wegen der großen Datenmengen empfiehlt Gurzi Gigabit-Netzwerkkarten.

Wurden bis hierher alle Themen nur kurz angerissen, so widmet Gurzi der Installation von EnCase im Netzwerk gut die Hälfte des Online-Seminars. Ausführlich erläutert er, wie sich die individuellen Dongles gegen einen speziellen Dongle mit Mehrfach-Lizenz eintauschen lassen.

Zur Verwaltung der Lizenzen wird dieser Dongle zusammen mit einer Network Authentication Server (NAS) gennanten Software auf einer Station im Labornetz installiert. Hierfür eignet sich zum Beispiel ein Fileserver. Gurzi zeigt online die Erzeugung eines "Safes" zur Verwaltung der Lizenzen und einen anschließenden Test der Installation mit "safe.exe -diag".

Den Schluß der Vorführung bildet die Konfiguration von EnCase auf den Arbeitsplätzen, so dass die Funktionen des Programms über den NAS freigeschaltet werden.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.