37414
Goto Top

Wie kann ich herausfinden, ob von außen jemand auf unseren Server zugreift?

Hallo,

ich habe heute den Eindruck, dass Jemand von außen an unserem Server arbeitet.
Wie kann ich das herausfinden?

Ich habe bereits auf dem Fileserver die "Ereignisanzeige" geöffnet und unter "Windows-Protokolle \ Sicherheit" nachgesehen.
Dort habe ich festgestellt, dass mit einem Windows-Anmeldename, der bei uns existiert, auf unseren Fileserver zugegriffen wurde.
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.

In der Ereignisanzeige (obiger Pfad), steht im Reiter "Allgemein" folgendes:

"Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert."

Und wir haben den Eindruck, dass ein Programm, welches wir nutzen, stockender läuft, als gestern und vorgestern.

Wäre schön, wenn Ihr einen Tipp habt.

LG
imebro

Content-Key: 284367

Url: https://administrator.de/contentid/284367

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: TlBERlUS
TlBERlUS 01.10.2015 aktualisiert um 15:00:42 Uhr
Goto Top
Zitat von @37414:

Hallo,
Servus

ich habe heute den Eindruck, dass Jemand von außen an unserem Server arbeitet.
Wie kann ich das herausfinden?
Wie kommst du auf die Idee, dass es jemand tut?

Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
VPN/Teamviewer?

Und wir haben den Eindruck, dass ein Programm, welches wir nutzen, stockender läuft, als gestern und vorgestern.
Netzwerkkabel abziehen und gucken, obs immernoch langsam ist?

Server/Clients sind Virenfrei?

Grüße,

Tiberius
Mitglied: Xartor
Lösung Xartor 01.10.2015, aktualisiert am 02.10.2015 um 10:18:15 Uhr
Goto Top
Auf die schnelle kannst du auf den Ressourcenmonitor unter dem Reiter Netzwerk einmal nachsehen von welcher IP Adresse auf deinen Server zugegriffen wird.
Wenn du den Verdacht hast das von außen zugreift, schau doch mal im Log der Firewall nach.
Ansonsten kannst du noch im Netlogon ein kleines Protokoll konfigurieren.
SET Benutzer=%username% hat sich von Rechner %clientname% an %computername% am %date% um %time% angemeldet
echo %Benutzer% >> \\Server\freigabe\logon.txt
Damit würdest du sehen von welchen Rechner sich der Benutzer anmeldet.

Schon mal daran gedacht das er einen Kollegen vielleicht sein Kennwort verraten hat um die Mails zu checken, etc. ?

VG Xartor
Mitglied: michi1983
michi1983 01.10.2015 um 15:56:34 Uhr
Goto Top
Hallo,

ich würde einfach euren Administrator fragen.
Der wird ja hoffentlich wissen ob es überhaupt einen konfigurierten Weg gibt von außen auf den Server zuzugreifen (RDP, VPN, etc.) und wo dann nachzusehen ist wer das war.

Gruß
Mitglied: Vision2015
Vision2015 01.10.2015 um 16:41:52 Uhr
Goto Top
hi,

ich glaube das war der admin der firma face-smile

frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.10.2015 um 17:09:28 Uhr
Goto Top
Zitat von @37414:

Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.

Warum nicht? Ich wüßte da viele Gründe:

  • Account der von mehreren genutzt wird.
  • Fest Eingetragen credentials im Programm
  • VPN
  • usw.

lks

PS. Wenn Du wirklich den Verdacht hast, solltest Du mal schauen, welche Netzwerkverbindungen aktiv sind und passend nachschahen, von welchem System aus der Zugriff erfolgt.
Mitglied: 37414
37414 02.10.2015 aktualisiert um 10:19:41 Uhr
Goto Top
Hallo "Xartor" und danke für den Tipp mit der Batchdatei.
Habe das gleich umgesetzt und es funktioniert gut.

Werde diese Batch also dann mal regelmäßig (manuell) starten...
Ginge es auch so, dass das ständig mit geloggt wird?

Danke und Gruss,
imebro
Mitglied: Xartor
Xartor 02.10.2015 um 11:13:41 Uhr
Goto Top
Einfach in das Netlogonscript eintragen und auf eine Freigabe speichern wo alle darauf Schreibzugriff haben.
Mitglied: 37414
37414 02.10.2015 um 14:17:02 Uhr
Goto Top
Vielen Dank für die Hilfe...

LG
imebro
Mitglied: Chonta
Chonta 02.10.2015 um 14:34:28 Uhr
Goto Top
Hallo,

Werde diese Batch also dann mal regelmäßig (manuell) starten...
Und Dann damit Einträge mit deinem Namenund PC einfügen obwohlt Du eingelogt bist?
Logonscript bedeutet es wird notiert von welchem DomänenPC welcher Benutzer sich eingelogt hat.
Benutzer die schon eingelogt sind werden nicht ermittelt und Logins von NICHT Domänenrechnern genausowenig.

Gruß

Chonta