c3r3br0
Goto Top

Kann im AD nachvollzogen werden, wer sich als letztes auf einem Rechner angemeldet hat?

Hallo zusammen

Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ..) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ..)

Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.

Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?

Danke für eure Hinweise.

Grüsse

c3r3br0

Content-ID: 221688

Url: https://administrator.de/forum/kann-im-ad-nachvollzogen-werden-wer-sich-als-letztes-auf-einem-rechner-angemeldet-hat-221688.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Cthluhu
Cthluhu 11.11.2013 um 18:42:14 Uhr
Goto Top
Hi,

User Logins stehen im Eventlog.
Du kannst ja mal alle Dateien durchsuchen welche zum fraglichen Zeitpunkt eine Änderung erfahren haben. Das kannst du als Anhaltspunkt nehmen was geändert wurde.

mfg

Cthluhu
DerWoWusste
DerWoWusste 11.11.2013 um 20:30:58 Uhr
Goto Top
Moin.

Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
dreckigersocken
dreckigersocken 12.11.2013 um 11:51:11 Uhr
Goto Top
Ich löse es so in einem Logonscript:

echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
Lochkartenstanzer
Lochkartenstanzer 12.11.2013 aktualisiert um 12:35:46 Uhr
Goto Top
Moin,

dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.

lks

PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
petjol3
petjol3 21.02.2014 um 09:41:04 Uhr
Goto Top
hallo, es gibt bei "LUMAX" tolle GUI`s zum verwalten , datailierte Info`s etc. ..

grüße