8
Daten verschwinden unter ProgramData und Userprofile-Ordner
Hallo liebe Comunity,
ich beobachte auf einem unserer Server (Windows Server2012R2 , Blech) folgendes Problem:
Es verschwinden schon zum 2. Mal Daten von C:\ProgramData und C:\users\%username%
Das erste mal passierte es vor ca 9 Monaten:
Antivirenlösung auf dem Server hat keine verdächtigen Aktionen auf dem Server bemerkt.
Wir haben den Server auf Viren mit dem Desinfect-Stick geprüft (4 unterschiedliche AV-Engines mit aktuellen Signaturen), Logs wurden auf auffällige Benutzeranmeldungen und auch auf Programm -und Systemfehler geprüft(bis auf die Fehler, die durch das Verschwinden der Daten resultierten, konnten keine weiteren Auffälligkeiten fetgestellt werden)
Es wurde geprüft, welche Aufgaben (Eventlog TaskScheduler) zum Zeitpunkt Verschwindens der Daten ausgeführt wurden, auch da keine verdächtigen Tasks gefunden.
Ich habe die Platte mit chkdsk auf defekte Sektoren überprüft, auch hier alles sauber.
Auf dem Server meldet sich nur der Domänen-Administrator an (keine Enduser).
Der Server wurde im Anschluss komplett neu aufgesetz und es wurden alle Adminkennwörter zurückgesetzt. 9 Monate war Ruhe und jetzt ist es erneut passiert, bei genau den gleichen Pfaden.
Nach dem ich den Server wiederhergestellt habe, habe ich jetzt auch die Ordnerüberwachung aktiviert, die alle erfolgreichen Löschvorgänge auf den betroffenen Pfaden protokolliert.
Hat jemand dieses Phänomen gehabt oder gesehen / davon gehört?
Hat jemand eine Idee wie dieses Problem zustande kommen kann?...
Ich bedanke mich schon mal vorab für eure Antworten
Gruß
ich beobachte auf einem unserer Server (Windows Server2012R2 , Blech) folgendes Problem:
Es verschwinden schon zum 2. Mal Daten von C:\ProgramData und C:\users\%username%
Das erste mal passierte es vor ca 9 Monaten:
Antivirenlösung auf dem Server hat keine verdächtigen Aktionen auf dem Server bemerkt.
Wir haben den Server auf Viren mit dem Desinfect-Stick geprüft (4 unterschiedliche AV-Engines mit aktuellen Signaturen), Logs wurden auf auffällige Benutzeranmeldungen und auch auf Programm -und Systemfehler geprüft(bis auf die Fehler, die durch das Verschwinden der Daten resultierten, konnten keine weiteren Auffälligkeiten fetgestellt werden)
Es wurde geprüft, welche Aufgaben (Eventlog TaskScheduler) zum Zeitpunkt Verschwindens der Daten ausgeführt wurden, auch da keine verdächtigen Tasks gefunden.
Ich habe die Platte mit chkdsk auf defekte Sektoren überprüft, auch hier alles sauber.
Auf dem Server meldet sich nur der Domänen-Administrator an (keine Enduser).
Der Server wurde im Anschluss komplett neu aufgesetz und es wurden alle Adminkennwörter zurückgesetzt. 9 Monate war Ruhe und jetzt ist es erneut passiert, bei genau den gleichen Pfaden.
Nach dem ich den Server wiederhergestellt habe, habe ich jetzt auch die Ordnerüberwachung aktiviert, die alle erfolgreichen Löschvorgänge auf den betroffenen Pfaden protokolliert.
Hat jemand dieses Phänomen gehabt oder gesehen / davon gehört?
Hat jemand eine Idee wie dieses Problem zustande kommen kann?...
Ich bedanke mich schon mal vorab für eure Antworten
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 595589
Url: https://administrator.de/contentid/595589
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @Anton215:
... habe ich jetzt auch die Ordnerüberwachung aktiviert, die alle erfolgreichen Löschvorgänge auf den betroffenen Pfaden protokolliert.
Das ist m.E. der richtige Ansatz. Alles andere wäre erstmal nur Stochern im Dunkeln.... habe ich jetzt auch die Ordnerüberwachung aktiviert, die alle erfolgreichen Löschvorgänge auf den betroffenen Pfaden protokolliert.
Wirst Du das nächste Löschen dieser Dateien schnell bemerken? Wenn nein, dann empfehle ich, zusätzlich noch einen Trigger für eine Geplante Aufgabe anzulegen, welcher Dich aktiv informiert, wenn da ein Event aufschlägt.
E.
1
Ja das merke ich recht zeitnah, da unter ProgramData eine Log-Datei liegt, die von unserem Monitoring System auf bestimmte Events geprüft wird. Wird diese gelöscht (so wie es bis jetzt der Fall war) würde das MonitoringSystem sofort eine Fehlermeldung für diesen Check ausgeben...
Dann heißt es jetzt wohl abwarten.....
Dann heißt es jetzt wohl abwarten.....
Moinsen,
ihr habt aber nicht irgendwo eine GPO die inaktive Benutzerprofile nach x Tagen löschen will?
VG
ihr habt aber nicht irgendwo eine GPO die inaktive Benutzerprofile nach x Tagen löschen will?
VG
Hehe, an sowas musste ich auch denken. Manchmal können es die witzigsten Sachen sein.
ihr habt aber nicht irgendwo eine GPO die inaktive Benutzerprofile nach x Tagen löschen will?
Das könnte durchaus passen, da %localappdata% normalerweise nicht zum Roaming Profile gehört.
ich beobachte auf einem unserer Server (Windows Server2012R2 , Blech) folgendes Problem:
Es verschwinden schon zum 2. Mal Daten von C:\ProgramData und C:\users\%username%
Es verschwinden schon zum 2. Mal Daten von C:\ProgramData und C:\users\%username%
Hat jemand dieses Phänomen gehabt oder gesehen / davon gehört?
Hat jemand eine Idee wie dieses Problem zustande kommen kann?...
Hat jemand eine Idee wie dieses Problem zustande kommen kann?...
Schonmal nachgeschaut, ob sich die Daten unter %localappdata%\VirtualStore\ProgramData befinden? Das kann durchaus bei Win32 Anwendungen ohne passenden Manifest und UAC passieren.
Zitat von @Possibaer:
Moinsen,
ihr habt aber nicht irgendwo eine GPO die inaktive Benutzerprofile nach x Tagen löschen will?
VG
Hi,Moinsen,
ihr habt aber nicht irgendwo eine GPO die inaktive Benutzerprofile nach x Tagen löschen will?
VG
nein das haben wir nicht . Wie schon erwähnt , betrifft das nicht nur die Benutzerprofilordner sondern auch ProgramData. Die geleerten Profilordner waren auch nicht inaktiv / oder besser gesagt es haben sich regelmmäßig die entsprecheden Admin-User auf dem Server angemeldet....
Zitat von @mbehrens:
Schonmal nachgeschaut, ob sich die Daten unter %localappdata%\VirtualStore\ProgramData befinden? Das kann durchaus bei Win32 Anwendungen ohne passenden Manifest und UAC passieren.
Schonmal nachgeschaut, ob sich die Daten unter %localappdata%\VirtualStore\ProgramData befinden? Das kann durchaus bei Win32 Anwendungen ohne passenden Manifest und UAC passieren.
Der Appdata Ordner ist als einziger in den Profilordnern übrig geblieben, war aber auch fast leer. Ich weiß jetzt nicht, ob dort der Ordner VirtualStore noch exisitert hat.... Das von dir beschriebene Phänomen kenne ich so noch nicht. Der Server ist mittlerweile aus der letzten Datensicherung wiederhergestellt worden. Da müsste ich mal abwarten, bis die Daten das nächste mal verschwinden, um das prüfen zu können.
