6
Windows Server 2003, Ereignisanzeige für Remotezugriff
Hallo,
wir haben in unserem Büro einen Daten- und Exchange Server (Win 2003) in Betrieb.
Ich möchte gerne die externen Zugriffe (über Remote) auf den Server nachvollziehen.
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt? Einen entsprechenden Benutzer sehe ich jedenfalls nicht. Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?
Vielen Dank für eure Hilfe.
Sigi
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt? Einen entsprechenden Benutzer sehe ich jedenfalls nicht. Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?
Vielen Dank für eure Hilfe.
Sigi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202533
Url: https://administrator.de/contentid/202533
Printed on: April 25, 2024 at 03:04 o'clock
6 Comments
Latest comment
Hallo,
Ja. Und zwar der User, der sich am Active Directory anmeldet.
Das An/Abmelden in der Ereignisanzeige hat erst mal überhaupt nichts damit zu tun, über welche Art der User mit seinem PC mit eurem Netzwerk verbunden ist.
Er kann über Lan, WLan, VPN, ISDM, Modem, PoE, usw.... verbunden sein.
Wie wählt sich jemand von aussen ein?
Du musst schon genauer erklären, wie sich jemand von "aussen" einwählt.
Verbindet er sich über VPN, ISDN, Modem, WLAN, usw...?
Oder meinst du mit Remote die Remotedesktopfunktion/Terminalserverfunktion und willst wissen wer sich da an und abmeldet?
Was verstehst du unter einem entsprechenden Benutzer?
Ja.
Nämlich genauere Infos was du unter "aussen" und Remote verstehst.
Zitat von @sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ja. Und zwar der User, der sich am Active Directory anmeldet.
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?
Das An/Abmelden in der Ereignisanzeige hat erst mal überhaupt nichts damit zu tun, über welche Art der User mit seinem PC mit eurem Netzwerk verbunden ist.
Er kann über Lan, WLan, VPN, ISDM, Modem, PoE, usw.... verbunden sein.
Wie wählt sich jemand von aussen ein?
Du musst schon genauer erklären, wie sich jemand von "aussen" einwählt.
Verbindet er sich über VPN, ISDN, Modem, WLAN, usw...?
Oder meinst du mit Remote die Remotedesktopfunktion/Terminalserverfunktion und willst wissen wer sich da an und abmeldet?
Einen entsprechenden
Benutzer sehe ich jedenfalls nicht.
Benutzer sehe ich jedenfalls nicht.
Was verstehst du unter einem entsprechenden Benutzer?
Es werden blos die Computernamen im lokalen Netzwerk registriert. Oder übersehe ich was?
Ja.
Nämlich genauere Infos was du unter "aussen" und Remote verstehst.
Hallo,
Die IP des Rechners, Datum und Uhrzeit sollten aber schnell den Übeltäter entlarven der dort am Werke ist und evtl. die Zugangsdaten zum Server hat. Sollte der Rechner aber nicht zu deinem Netz gehören und der Benutzer ebenfalls, hast du ein ganz anderes Problem. Passwörter wechslen. Alle.
Gruß,
Peter
Zitat von @sigidesch:
In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ja.In der Ereignisanzeige wird doch z.B. unter Sicherheit die An-/Abmeldung der Benutzer registriert.
Ist hier vielleicht ersichtlich, wenn sich jemand "von außen" auf den Server einwählt?
Per RDP? Ja. Ereigniss 552, 528, 576, 683, 682 (Enthält auch die IP des Rechners von wo aus das RDP gemacht wird. Der User ebenfalls. Nur nicht wer sich tatsächlich als User dahinter verbirgt. Oder meinst du etwas anderes?Einen entsprechenden Benutzer sehe ich jedenfalls nicht.
Es kann dort nur der benutzer auftauchen der sich anmeldet bzw. dies versucht. Du wirst nicht sehen können wer dies auf der lokalen Maschine des aufrufenden Rechners ist. Wie auch?Die IP des Rechners, Datum und Uhrzeit sollten aber schnell den Übeltäter entlarven der dort am Werke ist und evtl. die Zugangsdaten zum Server hat. Sollte der Rechner aber nicht zu deinem Netz gehören und der Benutzer ebenfalls, hast du ein ganz anderes Problem. Passwörter wechslen. Alle.
Gruß,
Peter
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt
Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.
D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.
Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen "Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung
Ich hoffe, Ihr könnt mir helfen.
Gruß Sigi
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt
Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.
D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.
Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen "Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung
Ich hoffe, Ihr könnt mir helfen.
Gruß Sigi
Hallo,
Remote <> Remote. Etwas genauer wirst du schon werden müssen.
Der Externe hat doch bestimmt eine externe feste IP sowie evtl eine interne feste IP per VPN? Der Externe hat doch bestimmt seinen eigenen Benutzernamen? Der Externe hat doch bestimmte Zeiten wo er sich Anmelden darf? Der Rechnername des Externen ist doch bestimmt bekannt?
Gruß,
Peter
Remote <> Remote. Etwas genauer wirst du schon werden müssen.
und/oder VPN
Wer baut das VPN auf? Der Client? Site to Site? Der Router Terminiert bei dir oder der Server selbst? Wenn dein Server, dann mal ins RRAS Protokoll schauenm. Sonst dort wo VPN Terminiert wird wird auch bestimmt ein Protokoll sein, oder? Da steht auch die IP drin etc. Damit kannst du wieder im Ereignissprotokoll eingrenzen. IP und Uhrzeit sollte dir dann weiter helfen. Es sagt aber keiner das es einfach istauf den Server zugegriffen; weiß es nicht genau.
Das solltest du aber wissen, woher willst du sonst wissen wonach du suchen sollst. Da steht nirgends was in Rot das hier der Zugriff war!D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server angemeldet hat;
Die IP?hier aber eben keinen "auffälligen" Eintrag über die Wartungs-Anmeldung
Sagt ja keiner das es Auffällig ist. Es ist doch eine Legitime anmeldung, also zulässig. Und wiedeo sollte da stehen das dies der Eintrag der Anmeldung zur Wartung ist? hat denn der Externe keinen eigenen Benutzernamen? Sehr bedenklich. Wie willst du ihn Sperren wenn es sein müsste? Den einzigen Admin den Zugriff entziehen?Der Externe hat doch bestimmt eine externe feste IP sowie evtl eine interne feste IP per VPN? Der Externe hat doch bestimmt seinen eigenen Benutzernamen? Der Externe hat doch bestimmte Zeiten wo er sich Anmelden darf? Der Rechnername des Externen ist doch bestimmt bekannt?
Gruß,
Peter
Hallo,
Auch wir führen Wartungen bei Kunden durch.
Wir müssen jede Wartung mit Datum und Uhrzeit und die durchgeführten Tätigkeiten an die Firma übermitteln.
Soll bedeuten, die Firma bei der die Wartung durchgeführt wurde, bekommt per email ein Protokoll:
z.B. am Tag XXX um Uhrzeit YYY wurde die Sicherung kontrolliert, Ereignisanzeige kontrolliert, USV kontrolliert, Vierenschutze, Raid, Fehler behoben, usw...
Fordert ein Protokoll an vom Dienstleister.
Du könntest auch eine einfaches Dokument auf dem Server anlegen, in dem der Dienstleister sich eintragen muss, sobald er eine Wartung durchgeführt hat.
Datum
Uhrzeit
Techniker der die Wartung ausgeführt hat
Tätigkeitsbericht
usw...
Verständlich.
Das könnte z.B auch über Teamviewer oder Netviewer erfolgen.
Das müsst ihr einfach abklären und schriftlich festhalten.
Und fordert ein Protokoll an, sobald eine Wartung ausgeführt wurde.
Ihr müsst ja für die Wartung auch regelmäßig bezahlen.
Wie gesagt, dazu musst du vom Dienstleister in Erfahrung bringen, wie er sich bei euch einwählt bzw. aufschaltet.
VPN, Wartungstools wie Teamviewer, Netviewer, VNC, ISDN, eigener Benutzername, usw...
Fragt doch einfach mal nach.
Du fischt im trüben und verbrauchst sinnlos Zeit.
Es ist ein Dienstleister. Ihr zahlt, ihr fordert.
Ich hoffe geholfen zu haben.
Zitat von @sigidesch:
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf
unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Danke für die rasche Antwort!
Es geht prinzipiell um folgendes: wir haben eine Wartungsvertrag mit einem Dienstleister, welcher wöchentlich einen Blick auf
unseren Server wirft. Nun wollte ich dies gerne kontrollieren, ob das auch wirklich gemacht wird.
Auch wir führen Wartungen bei Kunden durch.
Wir müssen jede Wartung mit Datum und Uhrzeit und die durchgeführten Tätigkeiten an die Firma übermitteln.
Soll bedeuten, die Firma bei der die Wartung durchgeführt wurde, bekommt per email ein Protokoll:
z.B. am Tag XXX um Uhrzeit YYY wurde die Sicherung kontrolliert, Ereignisanzeige kontrolliert, USV kontrolliert, Vierenschutze, Raid, Fehler behoben, usw...
Fordert ein Protokoll an vom Dienstleister.
Du könntest auch eine einfaches Dokument auf dem Server anlegen, in dem der Dienstleister sich eintragen muss, sobald er eine Wartung durchgeführt hat.
Datum
Uhrzeit
Techniker der die Wartung ausgeführt hat
Tätigkeitsbericht
usw...
Ich auch nicht so tief in der Materie (wissenstechnisch), hab eigentlich was anderes gelernt
Verständlich.
Also meines Wissens wird über Remote und/oder VPN auf den Server zugegriffen; weiß es nicht genau.
Das könnte z.B auch über Teamviewer oder Netviewer erfolgen.
Das müsst ihr einfach abklären und schriftlich festhalten.
Und fordert ein Protokoll an, sobald eine Wartung ausgeführt wurde.
Ihr müsst ja für die Wartung auch regelmäßig bezahlen.
D.h. wie erkenne ich bei den Ereignissen, wer sich "von außen" (außerhalb des lokalen Netzes) auf den Server
angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.
angemeldet hat; zu diesem Ereigniss sehe ich dann eben das Datum und Uhrzeit.
Wie gesagt, dazu musst du vom Dienstleister in Erfahrung bringen, wie er sich bei euch einwählt bzw. aufschaltet.
VPN, Wartungstools wie Teamviewer, Netviewer, VNC, ISDN, eigener Benutzername, usw...
Fragt doch einfach mal nach.
Wegen den Benutzernamen: zu jeweiligen Datum/Uhrzeiten gibt es eben Eintrage von An/Abmeldungen, Kennnummern und dem Namen
"Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die
Wartungs-Anmeldung
"Computer1", "Computer2", etc. hier aber eben keinen "auffälligen" Eintrag über die
Wartungs-Anmeldung
Du fischt im trüben und verbrauchst sinnlos Zeit.
Es ist ein Dienstleister. Ihr zahlt, ihr fordert.
Ich hoffe, Ihr könnt mir helfen.
Ich hoffe geholfen zu haben.
Danke für die Antworten!
Es gibt regelmäßige Protokolle, aber die wollte ich eben Kontrollieren ob die wirklich auf dem Server drauf waren und nicht einfach das Protokoll "erstellt" haben.
Da ich wohl jetzt "auf die schnelle" rausfinden ob und wie sich die angemeldet haben, werd ich wohl nochmal nachfragen müssen, wie die es machen.
Es gibt regelmäßige Protokolle, aber die wollte ich eben Kontrollieren ob die wirklich auf dem Server drauf waren und nicht einfach das Protokoll "erstellt" haben.
Da ich wohl jetzt "auf die schnelle" rausfinden ob und wie sich die angemeldet haben, werd ich wohl nochmal nachfragen müssen, wie die es machen.
