derhans87
Goto Top

Wann (wer) wurde (hat) die Systemzeit geändert

Hallo zusammen,

ein Kunde hat mich heute morgen gefragt, ob es möglich sei, herauszufinden, wann und von wem die Systemzeit verändert worden ist!
Ich habe bisher leider keine derartigen Hinweise gefunden.

Hat hier vielleicht jemand einen Tipp für mich?

Danke und liebe Grüße

Der Hans

Content-ID: 129003

Url: https://administrator.de/contentid/129003

Ausgedruckt am: 26.11.2024 um 02:11 Uhr

TsukiSan
TsukiSan 10.11.2009 um 07:59:52 Uhr
Goto Top
Hallo DerHans87,

DOS, LINUX, ZETA, HAIKU,WINDOWS,MAC?
Gruss
Tsuki
DerHans87
DerHans87 10.11.2009 um 08:00:37 Uhr
Goto Top
Zitat von @TsukiSan:
Hallo DerHans87,

DOS, LINUX, ZETA, HAIKO,WINDOWS?
Gruss
Tsuki

Sorry, ist natürlich Windows ;)
TsukiSan
TsukiSan 10.11.2009 um 08:10:00 Uhr
Goto Top
wie wär's damit, dass die Batterie für den CMOS langsam alle wird und keiner seine Hände dran hatte?
Prüfe mal die Zeit im Bios und nach jedem längeren Ausschlaten des Rechners.

Gruss
Tsuki
DerHans87
DerHans87 10.11.2009 um 08:15:25 Uhr
Goto Top
Zitat von @TsukiSan:
wie wär's damit, dass die Batterie für den CMOS langsam
alle wird und keiner seine Hände dran hatte?
Prüfe mal die Zeit im Bios und nach jedem längeren
Ausschlaten des Rechners.

Gruss
Tsuki
Mhh, daran kanns nicht liegen!

Als die Zeitumstellung war, hat sich die Systemzeit nicht automatisch umgestellt. NIcht weiter schlimm, aber irgendjemand hat die Zeit danach umgestellt und wir müssten jetzt wissen, wer.
TsukiSan
TsukiSan 10.11.2009 um 08:26:57 Uhr
Goto Top
du kannst ein script mitlaufen lassen
@echo off
@echo %Date%  %time%  >C:\%username%_Zeit.txt
@:Start
@echo %Date%  %time%  >>C:\%username%_Zeit.txt
@ping -n 3 %Computername%
@goto Start
das in die Autostart für alle User legen und wer's zu macht ist verdächtig face-wink

Gruss
Tsuki
DerHans87
DerHans87 10.11.2009 um 08:31:24 Uhr
Goto Top
Zitat von @TsukiSan:
du kannst ein script mitlaufen lassen
> @echo off
> @echo %Date%  %time%  >C:\%username%_Zeit.txt
> @:Start
> @echo %Date%  %time%  >>C:\%username%_Zeit.txt
> @ping -n 3 %Computername%
> @goto Start
> 
das in die Autostart für alle User legen und wer's zu macht
ist verdächtig face-wink

Gruss
Tsuki
Naja, das Problem ist, dass es schon passiert ist face-smile
GIbt es also keine Möglicheit, irgendwelche logs auszulesen ?
TsukiSan
TsukiSan 10.11.2009 um 08:34:01 Uhr
Goto Top
ehrlich gesagt, finde ich im Moment bei den "Events" von Windows keine Einträge, wenn ich die Zeit bei mir verstelle.
Das auf dem lokalen PC! Bei 'nem Server sieht das wohl anders aus!

Wer weiß mehr bezüglich der Logs bei W XP Prof?

Gruss
Tsuki
sjuerges
sjuerges 10.11.2009 um 09:05:46 Uhr
Goto Top
Wenn es das Management wissen will, einfach Bullshit-Bingo betreiben:
"Durch die synergetischen Langzeiteffekte der BitMusterverschiebung im EEPROM-Speicherstatus des CMOS steht uns diese Information leider nicht zur Verfügung."

Falls du es selber wissen willst:
"geht nicht, da Veränderungen an der Uhrzeit nur bei automatischen Einstellungen geloggt werden!"

MfG
Sebastian
DerHans87
DerHans87 10.11.2009 um 09:07:27 Uhr
Goto Top
Zitat von @sjuerges:
Wenn es das Management wissen will, einfach Bullshit-Bingo betreiben:

"Durch die synergetischen Langzeiteffekte der
BitMusterverschiebung im EEPROM-Speicherstatus des CMOS steht uns
diese Information leider nicht zur Verfügung."

Falls du es selber wissen willst:
"geht nicht, da Veränderungen an der Uhrzeit nur bei
automatischen Einstellungen geloggt werden!"

MfG
Sebastian
Sauber, das mach ich face-smile Danke und Gruß Hans
Kirschi
Kirschi 10.11.2009 um 09:20:13 Uhr
Goto Top
Moin,
es war auf jeden Fall jemand mit (lokalen) Adminrechten, da dürften doch normalerweise nicht so viele in Frage kommen face-smile

Andreas
Perlle
Perlle 10.11.2009 um 09:46:41 Uhr
Goto Top
Auch Moin,

1) Das muss niemand mit Admin Rechten gewesen sein, kontrolliere mal "SetTime" Priv. Das reicht zum Setzen der Zeit aus.
2) Die Echo Lösung ist etwas aufwendig.
3) Es gibt Möglichkeiten "jeden Zeitsprung" im System festzustellen (muss man einen speziellen Service installieren oder mitlaufen lassen;
4) Die Herkunft des Sprunges kann auch "remote" oder über ein installierte Software durchgeführt worden sein.
"Komplexere Systeme" (Hier keine Namen) schleppen da meistens etwas mit..

mfg´Perlle