mikrocontroller.net

Forum: PC Hard- und Software Nachvollziehen, wann wer am Rechner war


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Programmierer Nummer 7 (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Hallo an alle. Ich bin zur Zeit als einer von mehreren Personen an einem 
speziellen Laborrechner, der dynamisch zum Programmieren zugeteilt wird. 
Aktuell bin ich derjenige, der ihn offiziell alleine nutzt.

Seit einiger Zeit beobachte ich seltsame Effekte. Der Rechner fängt an 
zu rattern, ich kann sekundenlang auf keine Dateien zugreifen, 
Compilations stürzen ab oder halten kurz inne.

Zudem habe ich Grund zur Annahme, dass jemand von außerhalb der 
Abteilung dern Rechner einsieht, entweder in meiner Abwesenheit oder 
während ich daran arbeite.

Auf dem Rechner sind 6 Nutzer eingetragen, von denen 2 IT-accounts sind 
und 2 sehr alte Profile, die nicht mehr genutzt werden. Die beiden 
interessanten sind das meine und das des lokalen Admins. Nur mein Nutzer 
und der IT-Admin 1 haben Netzzugriff. Der lokale IT-Admin 2 und der 
lokale Admin der Abteilung haben keinen Netzugriff. So sieht es also 
aus:

1: ITADMIN1 : admin mit Netzzugriff für IT-Leute zur Wartung
2: ITADMIN2 : lokaler admin für IT Leute zur Rep. und Treiber-Inst
3: COMADMIN : lokaler admin der Abteilung
4: Program5 : normaler Nutzer, Netzzugang erloschen
5: Program6 : normaler Nutzer, Netzzugang erloschen
6: Program7 : normaler Nutzer, Netzzugang aktiv, Adminrechte


Frage 1 : Kann der lokale Admin, der auf einen Kollegen läuft, während 
meiner Anwesenheitszeit per Netzzugriff aus einem anderen Büro auf den 
Rechner drauf und schauen, was gerade an files aktiv ist und sich was 
kopieren? (dass er in meiner Abwesenheit drauf kann, ist mir klar)

Meines Erachtens geht es nicht, weil er selber ja seinen lokalen Admin 
auf seinem Rechner hat und auch sein eigenes IT-Profil, und diese beiden 
anders lauten und andere Passwörter haben , oder?

Frage 2 : Wo kann ich nachvollziehen, wer sich wann wie lange an dem 
Rechner zu schaffen gemacht hat? Wann er also gebootet wurde und wer 
sich eingelogged hat?

Ich selber habe ebenfalls Adminrechte und kann alles im Rechner machen 
und einsehen. Steht das in den Ereignisprotokollen? Kann die jemand 
manipulieren, dass ich das nicht erkennen kann?

Autor: Magnus M. (magnetus) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kann es sein dass sich deine Festplatte verabschiedet?

Autor: oszi40 (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Programmierer Nummer 7 schrieb:
> Steht das in den Ereignisprotokollen?

JA. Man sollte sie nur lesen können. Können heißt, daß sie nicht 
abschaltet wurden und man fähig ist. Manche Sachen werden auch woanders 
protokolliert. Frage Deinen Admin. Evtl. arbeitet er auch remote?

Autor: Sebastian S. (amateur)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Erst mal "Putzen", bereinigen und mal richtig runterfahren.
Natürlich vorher mal den Plattenstatus beäugen.

Als letztes die Log-Dateien ansehen. Bis auf das Zwinkern Deiner Augen, 
protokolliert Fenster alles.

Autor: Sebastian S. (amateur)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ach so, bevor ich es vergesse!
Natürlich kann man die Log-Dateien manipulieren, aber das ist eine 
Strafarbeit. Sollten diese aber fehlen, so kannst Du mit Sicherheit von 
einem bösen Buben ausgehen.

Autor: Programmierer Nummer 7 (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Wo finde ich diese LOG Datei?

Die Rechnerprobleme lassen wir mal aussen vor. Sicher, es kann sein, 
dass der eine Macke hat, gfs auch das Windows. Es ist nebenbei Windows 
10!

Der Rechner ist aber neu und hat eigentlich keine Probleme.

Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen 
Fremdzugriff, die ich hier nicht posten möchte. Ich würde es eben erst 
gerne gegenchecken.

Wenn es tatsächlich so ist, dann lenke ich einen ADMIN auf das Problem.

Es wäre dann kein rechtliches, weil der ja gucken darf. Ich wüsste es 
nur gern und hätte dann eine Erklärung für versaute Dateien.

Autor: Manfred (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Programmierer Nummer 7 schrieb:
> Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen
> Fremdzugriff, die ich hier nicht posten möchte.

Es ist doch noch gar kein Winter, dennoch hat Dein Aluhut schon 
Salzfraß?

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Programmierer Nummer 7 schrieb:
> Erklärung für versaute Dateien.

1.Was sagt die Ereignisanzeige? Rote Flecken?
2.Es gibt auch "schöne" Updates, wo hinterher alles anders ist.
3.Fahr die Kiste runter und mache einen gründlichen RAM-Test. Es gibt 
Fehler, die sind wie Löcher in den Socken. Man sieht sie nicht jeden Tag 
am gleichen Fleck!

Autor: bluppdidupp (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wer gerade per RDP oder lokal eingeloggt ist, lässt sich im Taskmanager 
im Benutzer-Reiter sehen.
Wenn die Festplatte rumrödelt kann man auch via resmon.exe mal schauen 
was die Festplatte gerade beschäftigt.
Per Gruppenrichtlinie kann man bzgl. Logging auch noch einiges 
einstellen, hier etwas als Wink in die Richtung: 
https://www.maketecheasier.com/enable-logon-auditing-windows-8/

Autor: Hannes J. (pnuebergang)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Programmierer Nummer 7 schrieb:
> Seit einiger Zeit beobachte ich seltsame Effekte. Der Rechner fängt an
> zu rattern, ich kann sekundenlang auf keine Dateien zugreifen,
> Compilations stürzen ab oder halten kurz inne.

Klingt nach normalem Windows-Verhalten. Platte zu langsam, zu voll 
und/oder irgendwo im Hintergrund hängt mal wieder ein Windows Prozess 
(z.B. der Update-Prozess), der ständig irgendwas runter läd, mitten drin 
abbricht, und wieder von vorne beginnt, oder die Registry ist kaputt.

Eventuell pfeift die Platte einfach aus dem letzten Loch.

> Zudem habe ich Grund zur Annahme, dass jemand von außerhalb der
> Abteilung dern Rechner einsieht, entweder in meiner Abwesenheit oder
> während ich daran arbeite.

Ja und? Gibt es etwas interessantes auf dem Rechner?

> Frage 1 : Kann der lokale Admin, der auf einen Kollegen läuft, während
> meiner Anwesenheitszeit per Netzzugriff aus einem anderen Büro auf den
> Rechner drauf und schauen, was gerade an files aktiv ist und sich was
> kopieren? (dass er in meiner Abwesenheit drauf kann, ist mir klar)

Was gäbe es denn da so wichtiges zu kopieren?

Für Diskzugriffe kann man im Task-Manager unter Leistung grob nachsehen 
was vor geht. Detailliert sieht man es im Resourcenmonitor. Bei den 
Sysinternals-Tools gibt es auch noch das ein oder andere Werkzeug, wie 
Diskmon.

> Frage 2 : Wo kann ich nachvollziehen, wer sich wann wie lange an dem
> Rechner zu schaffen gemacht hat? Wann er also gebootet wurde und wer
> sich eingelogged hat?

Ereignisanzeige, müsste unter den 4647- und 4648-Events sein.

> Ich selber habe ebenfalls Adminrechte und kann alles im Rechner machen
> und einsehen.

Na dann teste doch mal die Platte, "repariere" sie und "repariere" 
Windows (die meisten dieser Tools sind unglaublich langsam):

wmic diskdrive get status
chkdsk
chkdsk /f

sfc /scannow
dism /Online /Cleanup-Image /ScanHealth
dism /Online /Cleanup-Image /CheckHealth
dism /Online /Cleanup-Image /RestoreHealth

und was es sonst noch so an wundervoll kryptischen Windows-Kommandos 
dafür gibt (ich muss immer lachen wen Typen mir erzählen wollen, dass 
Linux so kryptisch wäre).

Zusätzlich würde sich ein anständiger Virus-Scan anbieten. Ich glaube 
die c't hat gerade eine neue Version von Desinfect heraus gebracht. Das 
ist eine Sammlung von Virenscannern auf einem eigenen Boot-Medium.

: Bearbeitet durch User
Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Programmierer Nummer 7 schrieb:
> Wo finde ich diese LOG Datei?

Das war bei Windows <= 7 ein binäres Format und wird vermutlich auch bei 
Windows 10 so sein.
Die Dateien direkt mit einem Editor anzusehen, wird dir also nicht viel 
bringen.
Guck in die Ereignisanzeige nach, die ist dafür da.

Da kannst du auch mal nachschauen, ob der Rechner irgendwelche 
Hardwarefehler meldet.
Die Festplatte könnte defekt sein, wenn da was rattert und du wartest 
musst, bis der Rechner die Daten lesen konnte. Wenn das der Fall ist, 
dann sichere erst einmal deine Daten, bevor du den Rechner runterfährst.
Aber auch ein Überhitzungsproblem durch fehlende Kühlerleitpaste oder 
einem lockeren Lüfter könnten dazu führen, dass die CPU runtertaktet und 
der Rechner ausgebremst wird.


> Egal, es gibt andere Hinweise auf eine Fremdnutzung und einen
> Fremdzugriff, die ich hier nicht posten möchte. Ich würde es eben erst
> gerne gegenchecken.

Wenn du wissen willst, wer wann eingeloggt war, findest du das auch in 
der Ereignisanzeige, sofern diese nicht manipuliert wurde.

Wegen Schadtools geh auf die Webseite von Sysinternals (gehört zu 
Microsoft) und lade dir die Programme Process Monitor,  Process Explorer 
und Autoruns runter.
Damit kannst du auch gleich mal die Hashs der aktiven Programme mit der 
Datenbank bei Virus Total mit einem Mausklick abgleichen. Bekannte 
Schadsoftware dürfte da schnell auffallen.
Mit Autoruns kannst du prüfen, was beim Starten von Windows alles 
aktiviert wird. So findet man auch Schadsoftware, die sich nur kurz 
aktiviert und dann wieder versteckt.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn man schonmal jemanden hat der mitliest, kann man ihm doch auch ein 
paar Falsche Infos unterjubeln. Vielleicht ein paar Termine mit seiner 
Abwesendheit wenn man aber tatsächlich vor Ort ist. Kannst du das Booten 
übers Netzwerk deaktivieren. Denn dann müsste auch wirklich jemand 
vorbeikommen.

Autor: Dirk B. (dirkb2)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wird der Rechner zentral administriert?

Wie werden Updates verteilt?

Autor: Thorsten W. (hologram73)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Hi,
in der Ereignisanzeige
unter „Anwendung- und Dienstprotokolle“ > Microsoft > Windows > 
„TerminalServices-LocalSessionManager“ > Operational

Kannst Du alle Anmelde- und Abmeldevorgänge des rechners nachvollziehen. 
Auch wo sie herkamen.

VG

Autor: Osszilierer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
dein Rechnerverhalten kenne ich, unser Virenscanner hat nix besseres zu 
tun als sich dauernd selbst zu updaten, neue Richtlinien zu laden, 
Quickscan durchführen oder den Compiler mal in die Sandbox zu nehmen und 
zu testen ob er wirklich safe ist (dauert dann mal 5min)

Autor: Maxe (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielleicht gibts auch benutzerspezifische Protokolldateien, bspw. welche 
Programme geöffnet werden, welche Dateien. Auch wenn die Datei binär 
ist, könnte der Zuletzt-Geändert-Zeitstempel einen User verraten.

Autor: Georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Wenn du wissen willst, wer wann eingeloggt war, findest du das auch in
> der Ereignisanzeige, sofern diese nicht manipuliert wurde.

Wenn sowohl der TO als auch der "Eindringling" Admin-Rechte haben (sonst 
kann der Fremde nicht viel erreichen), kann der jeweils zuletzt 
einloggte ja auch die Ereignis-Erfassung manipulieren oder die Logdatei 
löschen. Zumindest der zentrale Admin könnte seine Besuche wirksam 
verbergen.

Als Admin könnte der TO ja auch alle anderen Zugriffe ausser seinem 
eigenen sperren und warten, ob sich jemand beschwert. Aber grundsätzlich 
ist das sehr schwierig, wenn sich jemand ungestört vor den Rechner 
setzen kann und z.B. ein Live-Linux bootet o.ä. Bekanntlich kann man, 
wenn man etwas booten kann, ein Windows-Passwort löschen.

Georg

Autor: Programmierer Nummer 7 (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Thorsten W. schrieb:
> in der Ereignisanzeige
> unter „Anwendung- und Dienstprotokolle“ > Microsoft > Windows >
> „TerminalServices-LocalSessionManager“ > Operational
>
> Kannst Du alle Anmelde- und Abmeldevorgänge des rechners nachvollziehen.
> Auch wo sie herkamen.

SUPER! Danke!

Dank auch an die anderen, aber ich möchte zwischen eventuellen 
HW-Fehlern als Grund und Zugriff trennen. Wie gesagt gibt es Grund zur 
Annahme!

Und ja, es gibt dort was zu finden. Etwas, was keiner mehr braucht, der 
in Kürze die Firma verlassen wird, was er aber gerne hätte.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.