Kann im AD nachvollzogen werden, wer sich als letztes auf einem Rechner angemeldet hat?
Hallo zusammen
Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ..) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ..)
Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.
Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?
Danke für eure Hinweise.
Grüsse
c3r3br0
Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ..) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ..)
Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.
Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?
Danke für eure Hinweise.
Grüsse
c3r3br0
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221688
Url: https://administrator.de/forum/kann-im-ad-nachvollzogen-werden-wer-sich-als-letztes-auf-einem-rechner-angemeldet-hat-221688.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
Ich löse es so in einem Logonscript:
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
Moin,
dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.
lks
PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.
lks
PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.