37414
01.10.2015, aktualisiert am 02.10.2015
11280
9
0
Wie kann ich herausfinden, ob von außen jemand auf unseren Server zugreift?
Hallo,
ich habe heute den Eindruck, dass Jemand von außen an unserem Server arbeitet.
Wie kann ich das herausfinden?
Ich habe bereits auf dem Fileserver die "Ereignisanzeige" geöffnet und unter "Windows-Protokolle \ Sicherheit" nachgesehen.
Dort habe ich festgestellt, dass mit einem Windows-Anmeldename, der bei uns existiert, auf unseren Fileserver zugegriffen wurde.
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
In der Ereignisanzeige (obiger Pfad), steht im Reiter "Allgemein" folgendes:
"Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert."
Und wir haben den Eindruck, dass ein Programm, welches wir nutzen, stockender läuft, als gestern und vorgestern.
Wäre schön, wenn Ihr einen Tipp habt.
LG
imebro
ich habe heute den Eindruck, dass Jemand von außen an unserem Server arbeitet.
Wie kann ich das herausfinden?
Ich habe bereits auf dem Fileserver die "Ereignisanzeige" geöffnet und unter "Windows-Protokolle \ Sicherheit" nachgesehen.
Dort habe ich festgestellt, dass mit einem Windows-Anmeldename, der bei uns existiert, auf unseren Fileserver zugegriffen wurde.
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
In der Ereignisanzeige (obiger Pfad), steht im Reiter "Allgemein" folgendes:
"Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert."
Und wir haben den Eindruck, dass ein Programm, welches wir nutzen, stockender läuft, als gestern und vorgestern.
Wäre schön, wenn Ihr einen Tipp habt.
LG
imebro
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284367
Url: https://administrator.de/forum/wie-kann-ich-herausfinden-ob-von-aussen-jemand-auf-unseren-server-zugreift-284367.html
Ausgedruckt am: 19.04.2025 um 00:04 Uhr
9 Kommentare
Neuester Kommentar
Zitat von @37414:
Hallo,
ServusHallo,
ich habe heute den Eindruck, dass Jemand von außen an unserem Server arbeitet.
Wie kann ich das herausfinden?
Wie kommst du auf die Idee, dass es jemand tut?Wie kann ich das herausfinden?
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
VPN/Teamviewer?Und wir haben den Eindruck, dass ein Programm, welches wir nutzen, stockender läuft, als gestern und vorgestern.
Netzwerkkabel abziehen und gucken, obs immernoch langsam ist?Server/Clients sind Virenfrei?
Grüße,
Tiberius
Auf die schnelle kannst du auf den Ressourcenmonitor unter dem Reiter Netzwerk einmal nachsehen von welcher IP Adresse auf deinen Server zugegriffen wird.
Wenn du den Verdacht hast das von außen zugreift, schau doch mal im Log der Firewall nach.
Ansonsten kannst du noch im Netlogon ein kleines Protokoll konfigurieren.
SET Benutzer=%username% hat sich von Rechner %clientname% an %computername% am %date% um %time% angemeldet
echo %Benutzer% >> \\Server\freigabe\logon.txt
Damit würdest du sehen von welchen Rechner sich der Benutzer anmeldet.
Schon mal daran gedacht das er einen Kollegen vielleicht sein Kennwort verraten hat um die Mails zu checken, etc. ?
VG Xartor
Wenn du den Verdacht hast das von außen zugreift, schau doch mal im Log der Firewall nach.
Ansonsten kannst du noch im Netlogon ein kleines Protokoll konfigurieren.
SET Benutzer=%username% hat sich von Rechner %clientname% an %computername% am %date% um %time% angemeldet
echo %Benutzer% >> \\Server\freigabe\logon.txt
Damit würdest du sehen von welchen Rechner sich der Benutzer anmeldet.
Schon mal daran gedacht das er einen Kollegen vielleicht sein Kennwort verraten hat um die Mails zu checken, etc. ?
VG Xartor
Hallo,
ich würde einfach euren Administrator fragen.
Der wird ja hoffentlich wissen ob es überhaupt einen konfigurierten Weg gibt von außen auf den Server zuzugreifen (RDP, VPN, etc.) und wo dann nachzusehen ist wer das war.
Gruß
ich würde einfach euren Administrator fragen.
Der wird ja hoffentlich wissen ob es überhaupt einen konfigurierten Weg gibt von außen auf den Server zuzugreifen (RDP, VPN, etc.) und wo dann nachzusehen ist wer das war.
Gruß
hi,
ich glaube das war der admin der firma
frank
ich glaube das war der admin der firma
frank
1
Zitat von @37414:
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
Dieser Mitarbeiter ist jedoch heute nicht im Hause... kann sich also nicht anmelden.
Warum nicht? Ich wüßte da viele Gründe:
- Account der von mehreren genutzt wird.
- Fest Eingetragen credentials im Programm
- VPN
- usw.
lks
PS. Wenn Du wirklich den Verdacht hast, solltest Du mal schauen, welche Netzwerkverbindungen aktiv sind und passend nachschahen, von welchem System aus der Zugriff erfolgt.
Hallo "Xartor" und danke für den Tipp mit der Batchdatei.
Habe das gleich umgesetzt und es funktioniert gut.
Werde diese Batch also dann mal regelmäßig (manuell) starten...
Ginge es auch so, dass das ständig mit geloggt wird?
Danke und Gruss,
imebro
Habe das gleich umgesetzt und es funktioniert gut.
Werde diese Batch also dann mal regelmäßig (manuell) starten...
Ginge es auch so, dass das ständig mit geloggt wird?
Danke und Gruss,
imebro
Einfach in das Netlogonscript eintragen und auf eine Freigabe speichern wo alle darauf Schreibzugriff haben.
Vielen Dank für die Hilfe...
LG
imebro
LG
imebro
Hallo,
Logonscript bedeutet es wird notiert von welchem DomänenPC welcher Benutzer sich eingelogt hat.
Benutzer die schon eingelogt sind werden nicht ermittelt und Logins von NICHT Domänenrechnern genausowenig.
Gruß
Chonta
Werde diese Batch also dann mal regelmäßig (manuell) starten...
Und Dann damit Einträge mit deinem Namenund PC einfügen obwohlt Du eingelogt bist?Logonscript bedeutet es wird notiert von welchem DomänenPC welcher Benutzer sich eingelogt hat.
Benutzer die schon eingelogt sind werden nicht ermittelt und Logins von NICHT Domänenrechnern genausowenig.
Gruß
Chonta
