Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann im AD nachvollzogen werden, wer sich als letztes auf einem Rechner angemeldet hat?

Frage Sicherheit Viren und Trojaner

Mitglied: c3r3br0

c3r3br0 (Level 1) - Jetzt verbinden

11.11.2013 um 18:36 Uhr, 3149 Aufrufe, 5 Kommentare, 3 Danke

Hallo zusammen

Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ...) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ...)

Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.

Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?

Danke für eure Hinweise.

Grüsse

c3r3br0
Mitglied: Cthluhu
11.11.2013 um 18:42 Uhr
Hi,

User Logins stehen im Eventlog.
Du kannst ja mal alle Dateien durchsuchen welche zum fraglichen Zeitpunkt eine Änderung erfahren haben. Das kannst du als Anhaltspunkt nehmen was geändert wurde.

mfg

Cthluhu
Bitte warten ..
Mitglied: DerWoWusste
11.11.2013 um 20:30 Uhr
Moin.

Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
Bitte warten ..
Mitglied: dreckigersocken
12.11.2013 um 11:51 Uhr
Ich löse es so in einem Logonscript:

echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
Bitte warten ..
Mitglied: Lochkartenstanzer
12.11.2013, aktualisiert um 12:35 Uhr
Moin,

dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.

lks

PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
Bitte warten ..
Mitglied: petjol3
21.02.2014 um 09:41 Uhr
hallo, es gibt bei "LUMAX" tolle GUI`s zum verwalten , datailierte Info`s etc. ..

grüße
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Server
AD Überwachung nach unterschiedlichen Ereignissen (3)

Frage von WinLiCLI zum Thema Windows Server ...

Windows Server
Fehler Vertrauensstellung im AD (11)

Frage von thomas-99 zum Thema Windows Server ...

Windows Netzwerk
Software-Verteilung für 10 Rechner (6)

Frage von libaum2 zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(8)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte