Hallo an alle. Ich bin zur Zeit als einer von mehreren Personen an einem speziellen Laborrechner, der dynamisch zum Programmieren zugeteilt wird. Aktuell bin ich derjenige, der ihn offiziell alleine nutzt. Seit einiger Zeit beobachte ich seltsame Effekte. Der Rechner fängt an zu rattern, ich kann sekundenlang auf keine Dateien zugreifen, Compilations stürzen ab oder halten kurz inne. Zudem habe ich Grund zur Annahme, dass jemand von außerhalb der Abteilung dern Rechner einsieht, entweder in meiner Abwesenheit oder während ich daran arbeite. Auf dem Rechner sind 6 Nutzer eingetragen, von denen 2 IT-accounts sind und 2 sehr alte Profile, die nicht mehr genutzt werden. Die beiden interessanten sind das meine und das des lokalen Admins. Nur mein Nutzer und der IT-Admin 1 haben Netzzugriff. Der lokale IT-Admin 2 und der lokale Admin der Abteilung haben keinen Netzugriff. So sieht es also aus: 1: ITADMIN1 : admin mit Netzzugriff für IT-Leute zur Wartung 2: ITADMIN2 : lokaler admin für IT Leute zur Rep. und Treiber-Inst 3: COMADMIN : lokaler admin der Abteilung 4: Program5 : normaler Nutzer, Netzzugang erloschen 5: Program6 : normaler Nutzer, Netzzugang erloschen 6: Program7 : normaler Nutzer, Netzzugang aktiv, Adminrechte Frage 1 : Kann der lokale Admin, der auf einen Kollegen läuft, während meiner Anwesenheitszeit per Netzzugriff aus einem anderen Büro auf den Rechner drauf und schauen, was gerade an files aktiv ist und sich was kopieren? (dass er in meiner Abwesenheit drauf kann, ist mir klar) Meines Erachtens geht es nicht, weil er selber ja seinen lokalen Admin auf seinem Rechner hat und auch sein eigenes IT-Profil, und diese beiden anders lauten und andere Passwörter haben , oder? Frage 2 : Wo kann ich nachvollziehen, wer sich wann wie lange an dem Rechner zu schaffen gemacht hat? Wann er also gebootet wurde und wer sich eingelogged hat? Ich selber habe ebenfalls Adminrechte und kann alles im Rechner machen und einsehen. Steht das in den Ereignisprotokollen? Kann die jemand manipulieren, dass ich das nicht erkennen kann?
Programmierer Nummer 7 schrieb: > Steht das in den Ereignisprotokollen? JA. Man sollte sie nur lesen können. Können heißt, daß sie nicht abschaltet wurden und man fähig ist. Manche Sachen werden auch woanders protokolliert. Frage Deinen Admin. Evtl. arbeitet er auch remote?
Erst mal "Putzen", bereinigen und mal richtig runterfahren. Natürlich vorher mal den Plattenstatus beäugen. Als letztes die Log-Dateien ansehen. Bis auf das Zwinkern Deiner Augen, protokolliert Fenster alles.
Ach so, bevor ich es vergesse! Natürlich kann man die Log-Dateien manipulieren, aber das ist eine Strafarbeit. Sollten diese aber fehlen, so kannst Du mit Sicherheit von einem bösen Buben ausgehen.
Wo finde ich diese LOG Datei? Die Rechnerprobleme lassen wir mal aussen vor. Sicher, es kann sein, dass der eine Macke hat, gfs auch das Windows. Es ist nebenbei Windows 10! Der Rechner ist aber neu und hat eigentlich keine Probleme. Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen Fremdzugriff, die ich hier nicht posten möchte. Ich würde es eben erst gerne gegenchecken. Wenn es tatsächlich so ist, dann lenke ich einen ADMIN auf das Problem. Es wäre dann kein rechtliches, weil der ja gucken darf. Ich wüsste es nur gern und hätte dann eine Erklärung für versaute Dateien.
Programmierer Nummer 7 schrieb: > Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen > Fremdzugriff, die ich hier nicht posten möchte. Es ist doch noch gar kein Winter, dennoch hat Dein Aluhut schon Salzfraß?
Programmierer Nummer 7 schrieb: > Erklärung für versaute Dateien. 1.Was sagt die Ereignisanzeige? Rote Flecken? 2.Es gibt auch "schöne" Updates, wo hinterher alles anders ist. 3.Fahr die Kiste runter und mache einen gründlichen RAM-Test. Es gibt Fehler, die sind wie Löcher in den Socken. Man sieht sie nicht jeden Tag am gleichen Fleck!
Wer gerade per RDP oder lokal eingeloggt ist, lässt sich im Taskmanager im Benutzer-Reiter sehen. Wenn die Festplatte rumrödelt kann man auch via resmon.exe mal schauen was die Festplatte gerade beschäftigt. Per Gruppenrichtlinie kann man bzgl. Logging auch noch einiges einstellen, hier etwas als Wink in die Richtung: https://www.maketecheasier.com/enable-logon-auditing-windows-8/
Programmierer Nummer 7 schrieb: > Seit einiger Zeit beobachte ich seltsame Effekte. Der Rechner fängt an > zu rattern, ich kann sekundenlang auf keine Dateien zugreifen, > Compilations stürzen ab oder halten kurz inne. Klingt nach normalem Windows-Verhalten. Platte zu langsam, zu voll und/oder irgendwo im Hintergrund hängt mal wieder ein Windows Prozess (z.B. der Update-Prozess), der ständig irgendwas runter läd, mitten drin abbricht, und wieder von vorne beginnt, oder die Registry ist kaputt. Eventuell pfeift die Platte einfach aus dem letzten Loch. > Zudem habe ich Grund zur Annahme, dass jemand von außerhalb der > Abteilung dern Rechner einsieht, entweder in meiner Abwesenheit oder > während ich daran arbeite. Ja und? Gibt es etwas interessantes auf dem Rechner? > Frage 1 : Kann der lokale Admin, der auf einen Kollegen läuft, während > meiner Anwesenheitszeit per Netzzugriff aus einem anderen Büro auf den > Rechner drauf und schauen, was gerade an files aktiv ist und sich was > kopieren? (dass er in meiner Abwesenheit drauf kann, ist mir klar) Was gäbe es denn da so wichtiges zu kopieren? Für Diskzugriffe kann man im Task-Manager unter Leistung grob nachsehen was vor geht. Detailliert sieht man es im Resourcenmonitor. Bei den Sysinternals-Tools gibt es auch noch das ein oder andere Werkzeug, wie Diskmon. > Frage 2 : Wo kann ich nachvollziehen, wer sich wann wie lange an dem > Rechner zu schaffen gemacht hat? Wann er also gebootet wurde und wer > sich eingelogged hat? Ereignisanzeige, müsste unter den 4647- und 4648-Events sein. > Ich selber habe ebenfalls Adminrechte und kann alles im Rechner machen > und einsehen. Na dann teste doch mal die Platte, "repariere" sie und "repariere" Windows (die meisten dieser Tools sind unglaublich langsam): wmic diskdrive get status chkdsk chkdsk /f sfc /scannow dism /Online /Cleanup-Image /ScanHealth dism /Online /Cleanup-Image /CheckHealth dism /Online /Cleanup-Image /RestoreHealth und was es sonst noch so an wundervoll kryptischen Windows-Kommandos dafür gibt (ich muss immer lachen wen Typen mir erzählen wollen, dass Linux so kryptisch wäre). Zusätzlich würde sich ein anständiger Virus-Scan anbieten. Ich glaube die c't hat gerade eine neue Version von Desinfect heraus gebracht. Das ist eine Sammlung von Virenscannern auf einem eigenen Boot-Medium.
:
Bearbeitet durch User
Programmierer Nummer 7 schrieb: > Wo finde ich diese LOG Datei? Das war bei Windows <= 7 ein binäres Format und wird vermutlich auch bei Windows 10 so sein. Die Dateien direkt mit einem Editor anzusehen, wird dir also nicht viel bringen. Guck in die Ereignisanzeige nach, die ist dafür da. Da kannst du auch mal nachschauen, ob der Rechner irgendwelche Hardwarefehler meldet. Die Festplatte könnte defekt sein, wenn da was rattert und du wartest musst, bis der Rechner die Daten lesen konnte. Wenn das der Fall ist, dann sichere erst einmal deine Daten, bevor du den Rechner runterfährst. Aber auch ein Überhitzungsproblem durch fehlende Kühlerleitpaste oder einem lockeren Lüfter könnten dazu führen, dass die CPU runtertaktet und der Rechner ausgebremst wird. > Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen > Fremdzugriff, die ich hier nicht posten möchte. Ich würde es eben erst > gerne gegenchecken. Wenn du wissen willst, wer wann eingeloggt war, findest du das auch in der Ereignisanzeige, sofern diese nicht manipuliert wurde. Wegen Schadtools geh auf die Webseite von Sysinternals (gehört zu Microsoft) und lade dir die Programme Process Monitor, Process Explorer und Autoruns runter. Damit kannst du auch gleich mal die Hashs der aktiven Programme mit der Datenbank bei Virus Total mit einem Mausklick abgleichen. Bekannte Schadsoftware dürfte da schnell auffallen. Mit Autoruns kannst du prüfen, was beim Starten von Windows alles aktiviert wird. So findet man auch Schadsoftware, die sich nur kurz aktiviert und dann wieder versteckt.
Wenn man schonmal jemanden hat der mitliest, kann man ihm doch auch ein paar Falsche Infos unterjubeln. Vielleicht ein paar Termine mit seiner Abwesendheit wenn man aber tatsächlich vor Ort ist. Kannst du das Booten übers Netzwerk deaktivieren. Denn dann müsste auch wirklich jemand vorbeikommen.
Wird der Rechner zentral administriert? Wie werden Updates verteilt?
Hi, in der Ereignisanzeige unter „Anwendung- und Dienstprotokolle“ > Microsoft > Windows > „TerminalServices-LocalSessionManager“ > Operational Kannst Du alle Anmelde- und Abmeldevorgänge des rechners nachvollziehen. Auch wo sie herkamen. VG
dein Rechnerverhalten kenne ich, unser Virenscanner hat nix besseres zu tun als sich dauernd selbst zu updaten, neue Richtlinien zu laden, Quickscan durchführen oder den Compiler mal in die Sandbox zu nehmen und zu testen ob er wirklich safe ist (dauert dann mal 5min)
Vielleicht gibts auch benutzerspezifische Protokolldateien, bspw. welche Programme geöffnet werden, welche Dateien. Auch wenn die Datei binär ist, könnte der Zuletzt-Geändert-Zeitstempel einen User verraten.
Nano schrieb: > Wenn du wissen willst, wer wann eingeloggt war, findest du das auch in > der Ereignisanzeige, sofern diese nicht manipuliert wurde. Wenn sowohl der TO als auch der "Eindringling" Admin-Rechte haben (sonst kann der Fremde nicht viel erreichen), kann der jeweils zuletzt einloggte ja auch die Ereignis-Erfassung manipulieren oder die Logdatei löschen. Zumindest der zentrale Admin könnte seine Besuche wirksam verbergen. Als Admin könnte der TO ja auch alle anderen Zugriffe ausser seinem eigenen sperren und warten, ob sich jemand beschwert. Aber grundsätzlich ist das sehr schwierig, wenn sich jemand ungestört vor den Rechner setzen kann und z.B. ein Live-Linux bootet o.ä. Bekanntlich kann man, wenn man etwas booten kann, ein Windows-Passwort löschen. Georg
Thorsten W. schrieb: > in der Ereignisanzeige > unter „Anwendung- und Dienstprotokolle“ > Microsoft > Windows > > „TerminalServices-LocalSessionManager“ > Operational > > Kannst Du alle Anmelde- und Abmeldevorgänge des rechners nachvollziehen. > Auch wo sie herkamen. SUPER! Danke! Dank auch an die anderen, aber ich möchte zwischen eventuellen HW-Fehlern als Grund und Zugriff trennen. Wie gesagt gibt es Grund zur Annahme! Und ja, es gibt dort was zu finden. Etwas, was keiner mehr braucht, der in Kürze die Firma verlassen wird, was er aber gerne hätte.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.