Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

In welchen Log Files kann ich sehen ob versucht worden ist auf unseren Server zuzugreifen?

Mitglied: Chris71
Hallo Zusammen

Wir befürchten, dass sich jemand an unserem Server zuschafen gemacht hat, jemand der ev. auch die richtigen Passwörter und so hat.

Wo und wie sehe ich, ob und wann sich jemand auf dem server eingeloggt hat?

Wir haben einen Server mit
W2K
Remote Administrator 2.2
Terminalserver

Ich denke es wurde über Remote Administrator oder Terminalserver probiert. Wo finde ich da die Logs oder wo sehe ich wer sich wann eingeloggt hatte?

Bin dankbar für jeden Tipp!

Vielen Dank

gruss v.
Chris

Content-Key: 67289

Url: https://administrator.de/contentid/67289

Ausgedruckt am: 30.11.2021 um 22:11 Uhr

Mitglied: RedBullmachtfit
RedBullmachtfit 28.08.2007 um 13:40:06 Uhr
Goto Top
Hallo! Such mal in den Log-Files von eurem Router. Wenn jemand von extern z.B. per VPN darauf zugegriffen hat, wird dies oft in diesen Log-Files angezeigt.
Gruß
Mitglied: Chris71
Chris71 28.08.2007 um 13:47:53 Uhr
Goto Top
Hallo, vielen Dank für Deine rasche Antwort.

In unserem ZyWall 5 war bei den Log was falsch eingestellt und die daten wurden nur für einen Tag gespeichert. Leider habe ich das Log von dem besagten Tag nicht mehr.

Vielen Dank

Guss v.
Chris
Mitglied: Egbert
Egbert 28.08.2007 um 13:48:17 Uhr
Goto Top
Hallo Chris,

die logon/logoff Events kannst Du im Sicherheits log des Eventviewers sehen.

start --> ausführen --> eventvwr.exe dann Sicherheit.

Ich glaube bei Windows 2000 war das Event 528 für logon und 529 für logoff


Um auch alle Privilegien zu loggen muß folgender Reg Key gesetzt werden

Hive: HKEY_LOCAL_MACHINE\SYSTEM
Key: System\CurrentControlSet\Control\Lsa
Name: FullPrivilegeAuditing
Type: REG_BINARY
Value: 1

Gruß
Egbert
Mitglied: Egbert
Egbert 28.08.2007 um 13:50:18 Uhr
Goto Top
noch was vergessen.

der radmin schreibt eigene logfiles (ich glaube wenn eingeschaltet).
Ausserdem sperren sich RDP und Radmin gegenseitig aus. Wenn Du einmal eine RDP Session gemacht hast kannst Du nicht mehr mit Radmin ran.

Gruß
Egbert
Mitglied: Chris71
Chris71 28.08.2007 um 14:02:25 Uhr
Goto Top
Hallo Egbert

Vielen Dank für Deine Info. Den Eintrag habe ich hinzugefügt.

Im Protokel Sicherheit habe ich nur einen Eintrag:
Erfolgsüberwachung vom 4.4.2003

Das ist alles....

Ich hoffe das ist ein gutes Zeichen :-) face-smile

gruss v.
Chris
Mitglied: Egbert
Egbert 28.08.2007 um 14:28:04 Uhr
Goto Top
Hallo Chris,

das muss nicht unbedingt ein gutes Zeichen sein.
Ich gehe davon aus das das Auditing bei Dir aus ist.

Du mußt das noch einschalten über eine Policy.

Activating the logging of Logon/Logoff
In the Administrative Tools start Local Security Policy
Open Local Policy and then select Audit Policy
Double click Audit logon events and select the checkbox for Success and Failure
Mitglied: Chris71
Chris71 28.08.2007 um 14:58:58 Uhr
Goto Top
Hallo Egberg

OK, die waren alle Ausgeschaltet. Ich habe Sie jetzt aktiviert.

Jetzt steht:
Lokal Effektive
Anmeldeversuche überwachen Erfolgreich/Fehlgeschlagen kein Überwachung

Stimmt das so ?

Gruss v.
Chris
Mitglied: Egbert
Egbert 28.08.2007 um 17:31:00 Uhr
Goto Top
auf Überwachung stellen natürlich
Mitglied: Chris71
Chris71 29.08.2007 um 09:02:11 Uhr
Goto Top
Hallo Egberd

Vielen Dank für Deine Hilfe. es funktioniert nun so wie es sollte.
Hoffe nun, dass nächste mal, merke ich es wenn es nochmals versucht wird.

Gruss v.
Chris
Mitglied: 62322
62322 14.03.2008 um 12:49:34 Uhr
Goto Top
Sorry Leute, aber das ist doch alles Pillepalle. Wenn jemand den Server ernsthaft hackt, dann wird er natürlich versuchen, an diesen Schnittstellen vorbei auf die interessanten Daten zuzugreifen und statt dessen lieber Sicherheitslücken einzelner Netzwerkkomponenten oder in den Protokollstacks suchen und ausnutzen.

Das was ihr da so protokollieren wollt, würde vielleicht Hinweise auf einen unberechtigten Zugriff von Innen liefern. Richtige Einbrüche von draussen stehen in diesen Logs aber sowieso niemals drin, die passieren auf einer ganz anderen Ebene.

Um da überhaupt was zu bemerken, müsste man nicht nur eine geeignete Firewall mit Stateful Inspection haben, deren Logging müsste entsprechend ausführlich eingestellt sein und außerdem müsste man noch jemanden haben, der überhaupt in der Lage ist, aus diesen riesigen Protokollen herauszufiltern, was denn davon überhaupt verdächtig ist und was nicht.

Und selbst wenn man das alles hat und zusätzlich noch jedes einzelne Datenpaket mit einem Packetsniffer mitschneidet heisst das noch lange nicht, dass man einen erfolgreichen Einbruch überhaupt bemerken würde.

Letzlich muss man nicht nur regelmäßige Passwortwechsel mit einer Policy erzwingen, sondern natürlich auch beim leisesten Verdacht einer Kompromittierung. Denn es geht ja letztlich darum, Schlimmeres zu verhindern - was bereits geklaut oder gelöscht ist, macht man durch nachträgliches Durchforsten der Logfiles sowieso nicht mehr ungeschehen. Das kann ja nur noch dem Staatsanwalt dienen.
Heiß diskutierte Beiträge
question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 1 TagFrageWindows Server18 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1010 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
Dauernd gesperrter User in der ADChristianIT2021Vor 1 TagFrageWindows Server3 Kommentare

Hallo zusammen, Ich habe ein riesen Problem ich habe einen User der wird immer wieder gesperrt. Über die Eventlgs habe ich schon herausgefunden aus welcher ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

question
IMAP - Office365 gesperrt?NulliHBVor 1 TagFrageExchange Server15 Kommentare

Moin Zusammen Ich hoffe ich bin hier richtig :) Es geht um Office365 Exchange / Sicherheitseinstellung Ein frischer Tenant Und ich möchte auf die eine ...