Anmeldung am PC nach Mitternacht
Hallo zusammen,
ich stehe vor einer Situation, bei der ich Unterstützung benötige. Ich verwalte etwa 70 Workstations, die alle identisch sind – gleiche Modelle, gleiche Softwareinstallation und alle mit der gleichen Domain verbunden.
In den Logdateien ist mir aufgefallen, dass sich drei Benutzer wiederholt außerhalb der regulären Arbeitszeiten an ihren PCs angemeldet haben. Ein Benutzer meldete sich beispielsweise um 03:34 Uhr an, ein anderer um 22:17 Uhr und einmal kurz nach Mitternacht. Dies tritt nicht täglich auf, sondern nur gelegentlich.
Ich bin mir ziemlich sicher, dass die Benutzer zu diesen Zeiten nicht im Büro waren. Könnte dies durch automatische Prozesse, wie beispielsweise Windows-Updates, verursacht werden? Doch selbst wenn das der Fall wäre, warum zeigen die Logdateien an, dass sich der Benutzer erfolgreich angemeldet hat? Schließlich werden keine Passwörter gespeichert. Wenn es z. B. Windows Update ist/war, wieso passiert es aber dann nicht auf anderen PCs?
Kann mir vielleicht jemand von euch bei diesem Problem weiterhelfen?
Vielen Dank im Voraus.
Viele Grüße
Tom
ich stehe vor einer Situation, bei der ich Unterstützung benötige. Ich verwalte etwa 70 Workstations, die alle identisch sind – gleiche Modelle, gleiche Softwareinstallation und alle mit der gleichen Domain verbunden.
In den Logdateien ist mir aufgefallen, dass sich drei Benutzer wiederholt außerhalb der regulären Arbeitszeiten an ihren PCs angemeldet haben. Ein Benutzer meldete sich beispielsweise um 03:34 Uhr an, ein anderer um 22:17 Uhr und einmal kurz nach Mitternacht. Dies tritt nicht täglich auf, sondern nur gelegentlich.
Ich bin mir ziemlich sicher, dass die Benutzer zu diesen Zeiten nicht im Büro waren. Könnte dies durch automatische Prozesse, wie beispielsweise Windows-Updates, verursacht werden? Doch selbst wenn das der Fall wäre, warum zeigen die Logdateien an, dass sich der Benutzer erfolgreich angemeldet hat? Schließlich werden keine Passwörter gespeichert. Wenn es z. B. Windows Update ist/war, wieso passiert es aber dann nicht auf anderen PCs?
Kann mir vielleicht jemand von euch bei diesem Problem weiterhelfen?
Vielen Dank im Voraus.
Viele Grüße
Tom
Please also mark the comments that contributed to the solution of the article
Content-ID: 11307787979
Url: https://administrator.de/contentid/11307787979
Printed on: October 10, 2024 at 04:10 o'clock
23 Comments
Latest comment
... hast Du auch verifiziert, dass es sich wirklich um genau diese Benutzerkonten handelt, die sich da anmelden? Und das der PC aus gewesen ist und eingeschaltet worden ist? Wenn ja solltest Du tatsächlich mal die Benutzer vorsichtig drauf ansprechen.
Ich hatte mal eine ähnliche Geschichte und da hat sich rausgestellt, das es das Putzteam gewesen ist. Die hatten tatsächlich in dem Betrieb einen Account, um die Pläne einsehen zu können. Die haben dann im Büro den Rechner eingeschaltet um beim Putzen Musik hören zu können.
Gruß
Ich hatte mal eine ähnliche Geschichte und da hat sich rausgestellt, das es das Putzteam gewesen ist. Die hatten tatsächlich in dem Betrieb einen Account, um die Pläne einsehen zu können. Die haben dann im Büro den Rechner eingeschaltet um beim Putzen Musik hören zu können.
Gruß
Da stimmt aber deiner Beschreibung nicht:
und
sind schon mal komplett unterschiedliche Paar Schuhe
Der Ordner SYSVOL wird von jedem Domainmitglied automatisch stündlich abgefragt.
Also schau nach ob der entsprechende Rechner lokale Eventeinträge hat.
an ihren PCs angemeldet haben
und
a network share object was accessed
sind schon mal komplett unterschiedliche Paar Schuhe
Der Ordner SYSVOL wird von jedem Domainmitglied automatisch stündlich abgefragt.
Also schau nach ob der entsprechende Rechner lokale Eventeinträge hat.
Windows hat seit Ewigkeiten Waketimer für Windowsupdate eingerichtet: der Taskplaner startet Windows, schaut nach Updates und fährt es wieder runter. EIne Nutzeranmeldung wäre hierbei nicht zu erwarten, denn Windowsupdate hat zwar die Option, den Nutzer nach erfolgten updates wieder anzumelden (ja, dabei wird der Nutzertoken kurzzeitig zwischengespeichert!), aber du sagst ja, du würdest die PCs um 20 Uhr runterfahren, ergo müssen die Sitzungen ja beendet werden.
Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
Kommt da nichts, liegt es nicht daran und wir überlegen weiter.
Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
((Get-ScheduledTask).Principal).userid | sls Nutzername
Keines dieser Szenarien ist möglich. Habe alles überprüft.
Warum prüftst du mögliche Scenarien nach dem Ausschlussverfahren und schaust nicht einfach nach woher es kommt?
Du hast Logs auf dem Server, Du hast Logs auf den Clients, Du hast Logs auf dem VPN Server, in den Firewalls usw.
Du kannst die IPs und die Client Hostnamen auslesen und Du kannst die Usernamen auslesen.
Hast du einen WTS? evtl. kommen die zugriffe gar nicht vom clientpc..
Ich würde die AD User nur noch zugriff auf den DOMctrl und auf deren clientpc geben und schauen was passiert.
Hast du ein NAC im Einsatz? wäre ja theoretisch möglich das sich jemand einen privatpc mitnimmt und dort seine credentials eingibt.. da hättest du keinen Einfluss darauf (sonstige iot oder handys wären natürlich auch möglich)
Ich würde die AD User nur noch zugriff auf den DOMctrl und auf deren clientpc geben und schauen was passiert.
Hast du ein NAC im Einsatz? wäre ja theoretisch möglich das sich jemand einen privatpc mitnimmt und dort seine credentials eingibt.. da hättest du keinen Einfluss darauf (sonstige iot oder handys wären natürlich auch möglich)
Da haste ja schon, der Rechner war nicht aus. Das erkennt man auch z.B. deutlich an evtl vorhandenen Zeitlücken in den vielen Events. Jedes booten und aufwachen erzeugt ebenfalls filterbare Events.
Wenn der Rechner eingeschaltet war, dann ist der Zugriff auf SYSVOL normal, er updatet stündlich die GPOs.
Wenn der Rechner eingeschaltet war, dann ist der Zugriff auf SYSVOL normal, er updatet stündlich die GPOs.