tom990
Goto Top

Anmeldung am PC nach Mitternacht

Hallo zusammen,

ich stehe vor einer Situation, bei der ich Unterstützung benötige. Ich verwalte etwa 70 Workstations, die alle identisch sind – gleiche Modelle, gleiche Softwareinstallation und alle mit der gleichen Domain verbunden.

In den Logdateien ist mir aufgefallen, dass sich drei Benutzer wiederholt außerhalb der regulären Arbeitszeiten an ihren PCs angemeldet haben. Ein Benutzer meldete sich beispielsweise um 03:34 Uhr an, ein anderer um 22:17 Uhr und einmal kurz nach Mitternacht. Dies tritt nicht täglich auf, sondern nur gelegentlich.

Ich bin mir ziemlich sicher, dass die Benutzer zu diesen Zeiten nicht im Büro waren. Könnte dies durch automatische Prozesse, wie beispielsweise Windows-Updates, verursacht werden? Doch selbst wenn das der Fall wäre, warum zeigen die Logdateien an, dass sich der Benutzer erfolgreich angemeldet hat? Schließlich werden keine Passwörter gespeichert. Wenn es z. B. Windows Update ist/war, wieso passiert es aber dann nicht auf anderen PCs?

Kann mir vielleicht jemand von euch bei diesem Problem weiterhelfen?

Vielen Dank im Voraus.

Viele Grüße
Tom

Content-ID: 11307787979

Url: https://administrator.de/contentid/11307787979

Printed on: October 10, 2024 at 04:10 o'clock

Hubert.N
Hubert.N Mar 05, 2024 at 07:30:57 (UTC)
Goto Top
Moin

VPN + Remotedesktop?

Einfach mal die drei Benutzer fragen?

Gruß
JoeToe
JoeToe Mar 05, 2024 at 07:30:57 (UTC)
Goto Top
Moin.

Kann es sein, dass die drei Benutzer sich erst gar nicht abgeldet haben?

Gruß
JoeToe
killtec
killtec Mar 05, 2024 at 07:33:13 (UTC)
Goto Top
Moin,
eine andere Möglichkeit wäre Anmeldezeiten im AD User Objekt zu definieren...

Gruß
NordicMike
NordicMike Mar 05, 2024 at 07:33:45 (UTC)
Goto Top
In der Ereignisanzeige kannst du zwischen einer RDP-, einer interaktiven Anmeldung am Desktop und einer Anmeldung durch einen Task unterschieden.

VPN hat eigene Logs, Teamviewer z.B. auch.
tom990
tom990 Mar 05, 2024 at 07:37:11 (UTC)
Goto Top
Danke für eure schnelle Rückmeldung.

1. Ich habe eine GPO welche automatisch alle PCs um 20h herunterfährt.
2. VPN + Remotedesktop ist auf allen PCs deaktiviert und wird nicht verwendet.
Hubert.N
Hubert.N Mar 05, 2024 updated at 07:48:50 (UTC)
Goto Top
... hast Du auch verifiziert, dass es sich wirklich um genau diese Benutzerkonten handelt, die sich da anmelden? Und das der PC aus gewesen ist und eingeschaltet worden ist? Wenn ja solltest Du tatsächlich mal die Benutzer vorsichtig drauf ansprechen.

Ich hatte mal eine ähnliche Geschichte und da hat sich rausgestellt, das es das Putzteam gewesen ist. Die hatten tatsächlich in dem Betrieb einen Account, um die Pläne einsehen zu können. Die haben dann im Büro den Rechner eingeschaltet um beim Putzen Musik hören zu können.

Gruß
Cleanairs
Cleanairs Mar 05, 2024 at 07:54:31 (UTC)
Goto Top
Mit Menschen sprechen hilft meistens ;)
tom990
tom990 Mar 05, 2024 at 08:03:28 (UTC)
Goto Top
Ich habe mal hier zwei Screenshots gemacht aus dem Event Viewer.
logfile2
logfil1
tom990
tom990 Mar 05, 2024 at 08:10:54 (UTC)
Goto Top
Ja, aber da muss man auch sehr vorsichtig sein, vor allem mit dem Normalbenutzer. Menschen neigen zu Verschwörungstheorien und glauben alles, was sie auf z. B. TikTok sehen face-smile
Wenn ich ihnen jetzt sage, dass ich tatsächlich sehen kann, wann sich jemand am PC angemeldet und abgemeldet hat, sehe ich schon die nächsten Probleme auf mich zukommen.
watIsLos
watIsLos Mar 05, 2024 at 08:11:52 (UTC)
Goto Top
kommt das jeden Tag vor, oder nur vereinzelt?
Kannst Du bestätigen das die zwei Rechner wirklich sich um 20 Uhr herunterfahren?

hast Du irgendwas mit WOL eingerichtet?
tom990
tom990 Mar 05, 2024 at 08:17:27 (UTC)
Goto Top
Nein, nur vereinzelt. In den letzten 30 Tagen nur 3x. Die Uhrzeiten waren aber nicht die gleichen, aber immer spät nach Mitternacht.

Mit WOL habe ich nichts eingerichtet.
NordicMike
NordicMike Mar 05, 2024 updated at 08:18:55 (UTC)
Goto Top
Da stimmt aber deiner Beschreibung nicht:

an ihren PCs angemeldet haben

und

a network share object was accessed

sind schon mal komplett unterschiedliche Paar Schuhe face-smile

Der Ordner SYSVOL wird von jedem Domainmitglied automatisch stündlich abgefragt.
Also schau nach ob der entsprechende Rechner lokale Eventeinträge hat.
DerWoWusste
DerWoWusste Mar 05, 2024 at 08:34:10 (UTC)
Goto Top
Windows hat seit Ewigkeiten Waketimer für Windowsupdate eingerichtet: der Taskplaner startet Windows, schaut nach Updates und fährt es wieder runter. EIne Nutzeranmeldung wäre hierbei nicht zu erwarten, denn Windowsupdate hat zwar die Option, den Nutzer nach erfolgten updates wieder anzumelden (ja, dabei wird der Nutzertoken kurzzeitig zwischengespeichert!), aber du sagst ja, du würdest die PCs um 20 Uhr runterfahren, ergo müssen die Sitzungen ja beendet werden.

Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
((Get-ScheduledTask).Principal).userid | sls Nutzername
Kommt da nichts, liegt es nicht daran und wir überlegen weiter.
SachsenHessi
SachsenHessi Mar 05, 2024 at 08:42:07 (UTC)
Goto Top
Ist folgendes Szenario möglich?
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH
NordicMike
NordicMike Mar 05, 2024 at 08:45:24 (UTC)
Goto Top
Alles ist möglich, deshalb: In der lokalen Eventliste des Clients nachsehen.
tom990
tom990 Mar 05, 2024 updated at 09:25:46 (UTC)
Goto Top
Bin gerade am PC des Benutzers. Nach Eingabe in der Powershell kommt kein Output.


Zitat von @DerWoWusste:

Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
((Get-ScheduledTask).Principal).userid | sls Nutzername
Kommt da nichts, liegt es nicht daran und wir überlegen weiter.
tom990
tom990 Mar 05, 2024 at 09:26:19 (UTC)
Goto Top
Zitat von @SachsenHessi:

Ist folgendes Szenario möglich?
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH

Keines dieser Szenarien ist möglich. Habe alles überprüft.
NordicMike
NordicMike Mar 05, 2024 updated at 09:40:43 (UTC)
Goto Top
Keines dieser Szenarien ist möglich. Habe alles überprüft.

Warum prüftst du mögliche Scenarien nach dem Ausschlussverfahren und schaust nicht einfach nach woher es kommt?

Du hast Logs auf dem Server, Du hast Logs auf den Clients, Du hast Logs auf dem VPN Server, in den Firewalls usw.

Du kannst die IPs und die Client Hostnamen auslesen und Du kannst die Usernamen auslesen.
user217
user217 Mar 05, 2024 at 09:33:57 (UTC)
Goto Top
Hast du einen WTS? evtl. kommen die zugriffe gar nicht vom clientpc..
Ich würde die AD User nur noch zugriff auf den DOMctrl und auf deren clientpc geben und schauen was passiert.
Hast du ein NAC im Einsatz? wäre ja theoretisch möglich das sich jemand einen privatpc mitnimmt und dort seine credentials eingibt.. da hättest du keinen Einfluss darauf (sonstige iot oder handys wären natürlich auch möglich)
tom990
tom990 Mar 05, 2024 at 09:45:50 (UTC)
Goto Top
Zitat von @NordicMike:

Alles ist möglich, deshalb: In der lokalen Eventliste des Clients nachsehen.

Bin gerade am PC des Benutzers.
Unter Einstellungen - Updateverlauf anzeigen sehe ich das unter Treiberupdates gerstern drei Treiber erfolgreich installiert wurden. Es wird aber nicht die Zeit angezeigt..

Intel Corporation - Extension - 31.0.101.5186
Realtek - SoftwareComponent - 11.0.6000.27
Intel - Extension - 2316.5.0.0

Die Option "Erhalten Sie die neustens Updates, sobald sie verfügbar sind" ist deaktiviert.

Was ich noch überprüft habe ist: im Gerätemanager unter Netzwerkadapter - Intel ethernet Connection (17) I219-LM - unter Eigenschaften - Erweitert - war hier Akt.über Magic Packet und Aktivieren aus S0ix über Magic Packet aktiviert. Ich habe es jetzt auf deaktiviert gesetzt.

Im Event Viewer gibt es unter Security von gestern ab 03:30 nur Ereignis-IDs: 4689, 4702, 4647,4688,

Unter System: ein Event-ID 6009 war gesternum 9h, aber 6006 erst um 03:35. Er scheint sich nicht ausgesschaltet zu haben um 20h.

Ich habe jetzt in der Aufgabenplanung noch einmal alles überprüft. Es steht ein Task "Computer Shutdown" jeden Tag um 20h.

Mal sehen ob das was bringt.
DerWoWusste
DerWoWusste Mar 05, 2024 at 09:54:57 (UTC)
Goto Top
Er scheint sich nicht ausgesschaltet zu haben um 20h.
Und dein Shutdown-Task macht das auch mit Enforcement?
shutdown -f -s -t 0
solltest Du nehmen.
NordicMike
Solution NordicMike Mar 05, 2024 at 09:57:30 (UTC)
Goto Top
Da haste ja schon, der Rechner war nicht aus. Das erkennt man auch z.B. deutlich an evtl vorhandenen Zeitlücken in den vielen Events. Jedes booten und aufwachen erzeugt ebenfalls filterbare Events.

Wenn der Rechner eingeschaltet war, dann ist der Zugriff auf SYSVOL normal, er updatet stündlich die GPOs.
tom990
tom990 Mar 05, 2024 at 10:12:58 (UTC)
Goto Top
Zitat von @DerWoWusste:

Er scheint sich nicht ausgesschaltet zu haben um 20h.
Und dein Shutdown-Task macht das auch mit Enforcement?
shutdown -f -s -t 0
solltest Du nehmen.

Ja, mache ich, nur habe ich /s /f /t 300