In welchen Log Files kann ich sehen ob versucht worden ist auf unseren Server zuzugreifen?
Hallo Zusammen
Wir befürchten, dass sich jemand an unserem Server zuschafen gemacht hat, jemand der ev. auch die richtigen Passwörter und so hat.
Wo und wie sehe ich, ob und wann sich jemand auf dem server eingeloggt hat?
Wir haben einen Server mit
W2K
Remote Administrator 2.2
Terminalserver
Ich denke es wurde über Remote Administrator oder Terminalserver probiert. Wo finde ich da die Logs oder wo sehe ich wer sich wann eingeloggt hatte?
Bin dankbar für jeden Tipp!
Vielen Dank
gruss v.
Chris
Wir befürchten, dass sich jemand an unserem Server zuschafen gemacht hat, jemand der ev. auch die richtigen Passwörter und so hat.
Wo und wie sehe ich, ob und wann sich jemand auf dem server eingeloggt hat?
Wir haben einen Server mit
W2K
Remote Administrator 2.2
Terminalserver
Ich denke es wurde über Remote Administrator oder Terminalserver probiert. Wo finde ich da die Logs oder wo sehe ich wer sich wann eingeloggt hatte?
Bin dankbar für jeden Tipp!
Vielen Dank
gruss v.
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 67289
Url: https://administrator.de/forum/in-welchen-log-files-kann-ich-sehen-ob-versucht-worden-ist-auf-unseren-server-zuzugreifen-67289.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo Chris,
die logon/logoff Events kannst Du im Sicherheits log des Eventviewers sehen.
start --> ausführen --> eventvwr.exe dann Sicherheit.
Ich glaube bei Windows 2000 war das Event 528 für logon und 529 für logoff
Um auch alle Privilegien zu loggen muß folgender Reg Key gesetzt werden
Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\Lsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1
Gruß
Egbert
die logon/logoff Events kannst Du im Sicherheits log des Eventviewers sehen.
start --> ausführen --> eventvwr.exe dann Sicherheit.
Ich glaube bei Windows 2000 war das Event 528 für logon und 529 für logoff
Um auch alle Privilegien zu loggen muß folgender Reg Key gesetzt werden
Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\Lsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1
Gruß
Egbert
Hallo Chris,
das muss nicht unbedingt ein gutes Zeichen sein.
Ich gehe davon aus das das Auditing bei Dir aus ist.
Du mußt das noch einschalten über eine Policy.
Activating the logging of Logon/Logoff
In the Administrative Tools start Local Security Policy
Open Local Policy and then select Audit Policy
Double click Audit logon events and select the checkbox for Success and Failure
das muss nicht unbedingt ein gutes Zeichen sein.
Ich gehe davon aus das das Auditing bei Dir aus ist.
Du mußt das noch einschalten über eine Policy.
Activating the logging of Logon/Logoff
In the Administrative Tools start Local Security Policy
Open Local Policy and then select Audit Policy
Double click Audit logon events and select the checkbox for Success and Failure
Sorry Leute, aber das ist doch alles Pillepalle. Wenn jemand den Server ernsthaft hackt, dann wird er natürlich versuchen, an diesen Schnittstellen vorbei auf die interessanten Daten zuzugreifen und statt dessen lieber Sicherheitslücken einzelner Netzwerkkomponenten oder in den Protokollstacks suchen und ausnutzen.
Das was ihr da so protokollieren wollt, würde vielleicht Hinweise auf einen unberechtigten Zugriff von Innen liefern. Richtige Einbrüche von draussen stehen in diesen Logs aber sowieso niemals drin, die passieren auf einer ganz anderen Ebene.
Um da überhaupt was zu bemerken, müsste man nicht nur eine geeignete Firewall mit Stateful Inspection haben, deren Logging müsste entsprechend ausführlich eingestellt sein und außerdem müsste man noch jemanden haben, der überhaupt in der Lage ist, aus diesen riesigen Protokollen herauszufiltern, was denn davon überhaupt verdächtig ist und was nicht.
Und selbst wenn man das alles hat und zusätzlich noch jedes einzelne Datenpaket mit einem Packetsniffer mitschneidet heisst das noch lange nicht, dass man einen erfolgreichen Einbruch überhaupt bemerken würde.
Letzlich muss man nicht nur regelmäßige Passwortwechsel mit einer Policy erzwingen, sondern natürlich auch beim leisesten Verdacht einer Kompromittierung. Denn es geht ja letztlich darum, Schlimmeres zu verhindern - was bereits geklaut oder gelöscht ist, macht man durch nachträgliches Durchforsten der Logfiles sowieso nicht mehr ungeschehen. Das kann ja nur noch dem Staatsanwalt dienen.
Das was ihr da so protokollieren wollt, würde vielleicht Hinweise auf einen unberechtigten Zugriff von Innen liefern. Richtige Einbrüche von draussen stehen in diesen Logs aber sowieso niemals drin, die passieren auf einer ganz anderen Ebene.
Um da überhaupt was zu bemerken, müsste man nicht nur eine geeignete Firewall mit Stateful Inspection haben, deren Logging müsste entsprechend ausführlich eingestellt sein und außerdem müsste man noch jemanden haben, der überhaupt in der Lage ist, aus diesen riesigen Protokollen herauszufiltern, was denn davon überhaupt verdächtig ist und was nicht.
Und selbst wenn man das alles hat und zusätzlich noch jedes einzelne Datenpaket mit einem Packetsniffer mitschneidet heisst das noch lange nicht, dass man einen erfolgreichen Einbruch überhaupt bemerken würde.
Letzlich muss man nicht nur regelmäßige Passwortwechsel mit einer Policy erzwingen, sondern natürlich auch beim leisesten Verdacht einer Kompromittierung. Denn es geht ja letztlich darum, Schlimmeres zu verhindern - was bereits geklaut oder gelöscht ist, macht man durch nachträgliches Durchforsten der Logfiles sowieso nicht mehr ungeschehen. Das kann ja nur noch dem Staatsanwalt dienen.