Zugriff auf Rechner

#1 Hallo,

folgende Frage beschäftigt mich seit Stunden, nämlich wie kann ich nachweisen, dass offensichtlich ein Kollege von mir sich vergangene Nacht bzw. heute früh um 2 Uhr unerlaubt Zugriff auf meinen Rechner verschafft hat.

Vorgeschichte, seit einigen Tagen hat mich der Kollege schon um Zugriff auf meinen Rechner gebeten, was ich ihm begründet verweigert habe. Den Zugriff möchte ich ihm nur in meiner Anwesentheit erlauben.

Da mir das ganze verdächtig vorkam, habe ich gestern Abend mehrere Programme nicht beendet und den Computer nur gesperrt, wobei ich den Administrator Benutzernamen durch entfernen eines Buchstabens verändert habe, was auf den ersten Blick niemanden aufgefallen wäre.

Heute Abend habe ich gleich festgestellt, dass der Benutzername korrekt geschrieben war. Beim Einloggen wurden die Programme, die ich NICHT beendet hatte nicht mehr ausgeführt.

Ich habe den Kollegen diesbezüglich telefonisch kontaktiert, weil ich wusste, dass er die vergangene Nacht bis heute früh im Büro gewesen ist, und ihn gefragt, ob er den Rechner neu gestartet hat. Die Antwort war NEIN, er habe meinen Rechner nicht angefasst.

Über die Protokolierungsdateien (W2k) und über die Suchfunktion *.* mit Datumseinschränkung wollte ich nun feststellen, ob bzw. wann der Zugriff auf meinen Rechner erfolgte.

Mit folgendem Resultat, dass folgende Ordner

Ordner: 9482F4B4-E343-43B6-B170-9A65BC822C77 (enthält wuredir.cab und wuredir.xml)

Default (enthält wuindent.cab
wusetup.cab
wusetup.inf )

security (enthält edb000B.log,
edb.chk 2.25Uhr
edb.log 2.25Uhr
res1.log
res2.log und die
Unterordner: Database,logs und templates
Database:
secedit.sdb (Appfix-Paket) 2.19Uhr
logs:...
winlogon.log 2.19Uhr
templates mit dem Unterordner policies...



verändert bzw. erstellt wurden.

Die winlogon.log -Datei behinhaltet für den 12.11. folgende Zeilen:

-------------------------------------------
11/12/2005 02:19:32
Verzögerungsfilter für den Registrierungswert aufrufen
Analyse von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Analyse von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Analyse von machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext.
Analyse von machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon.
Analyse von machine\system\currentcontrolset\control\lsa\auditbaseobjects.
Analyse von machine\system\currentcontrolset\control\lsa\crashonauditfail.
Analyse von machine\system\currentcontrolset\control\lsa\fullprivilegeauditing.
Analyse von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.
Analyse von machine\system\currentcontrolset\control\lsa\restrictanonymous.
Analyse von machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers.
Analyse von machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown.
Analyse von machine\system\currentcontrolset\control\session manager\protectionmode.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpassword.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignature.
Analyse von machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignature.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel.
Analyse von machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel.
Analyse von MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl.
Analyse von MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD.
Analyse von MACHINE\Software\Microsoft\Non-Driver Signing\Policy.
Analyse von MACHINE\Software\Microsoft\Driver Signing\Policy.
Lokale Richtlinie kopieren.
----Konfigurationsmodul wurde erfolgreich initialisiert.----

----Konfigurationsvorlageninformationen werden gelesen...


----Benutzerrechte werden konfiguriert...
Konfigurieren von S-1-5-32-544.
Konfigurieren von S-1-5-32-551.
Konfigurieren von S-1-5-21-1004336348-1085031214-839522115-1000.
Konfigurieren von S-1-5-32-547.
Konfigurieren von S-1-5-32-545.
Konfigurieren von S-1-1-0.
Konfigurieren von S-1-5-6.
Konfigurieren von S-1-5-21-1004336348-1085031214-839522115-501.

Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen.


----Sicherheitsrichtlinien werden konfiguriert...
Konfigurieren der Kennwortinformationen.

Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.
Konfigurieren der Ereignisüberwachungseinstellungen.

Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext.
Konfigurieren von machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon.
Konfigurieren von machine\system\currentcontrolset\control\lsa\auditbaseobjects.
Konfigurieren von machine\system\currentcontrolset\control\lsa\crashonauditfail.
Konfigurieren von machine\system\currentcontrolset\control\lsa\fullprivilegeauditing.
Konfigurieren von machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel.
Konfigurieren von machine\system\currentcontrolset\control\lsa\restrictanonymous.
Konfigurieren von machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers.
Konfigurieren von machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown.
Konfigurieren von machine\system\currentcontrolset\control\session manager\protectionmode.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpassword.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignature.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel.
Konfigurieren von machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel.

Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen.


----Verfügbare Anlagenmodule werden konfiguriert...

Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.


----Konfigurationsmodul wird deinitialisiert...




Nun brauche ich Rat ..., im Moment kann ich eigentlich nur Vermutungen stellen, nämlich, dass über eine Bart Pe oder ähnlich Boot-CD Zugriff auf den Rechner verschafft...

Na ja, wenn mir jemand da Helfen oder Rat geben, dem wäre ich sehr dankbar.

Danke

#2 Primär kannst du in Erfahrung bringen, *dass* der PC zu einem bestimmten Zeitpunkt von *irgendeinem* User benutzt
wurde. Wenn zu besagtem Zeitpunkt jedoch nur eine Person Zugang zum System hatte, grenzt dies natürlich die
in Frage kommenden Verdächtigen naturgemäß ein.

Logge bspw. die Anmeldeversuche wie hier beschrieben: http://board.protecus.de/t20201-lastpage.htm

Desweiteren werfe ein Auge auf die lokale Sicherheit: Ändere die Kennwörter zu den Konten und spiele mit dem
Gedanken, im BIOS die Bootreihenfolge auf 'C only' zu setzen und das BIOS mittels Passwort zu schützen.

Gruß,

Sepia

#3 Danke,

ich habe heute erst die Nachricht gelesen und sogleich den Tip mit den Gruppenrichtlinien Einstellungen umgesetzt. Das mit dem Bios Passwort und der Bootreihenfolge werde ich wahrscheinlich heute auch noch durchführen.

Aber wie ist das eigentlich mit der winlogon.log Datei, ich meine wie muss ich die Zeitangabe interpretieren bzw. kann ich zu der Zeit wo die Überwachungsrichtlinien nicht eingestellt waren, anhand irgendwelcher Dateien
feststellen, dass eine Anmeldung, ein Neustart usw. durchgeführt wurde ??

Nochmal vielen Dank

#4

Zitat

[..]kann ich zu der Zeit wo die Überwachungsrichtlinien nicht eingestellt waren, anhand irgendwelcher Dateien
feststellen, dass [..]ein Neustart usw. durchgeführt wurde ??

Im Ereignisprotokoll unter "System". Schaue, wann die Quelle "Eventlog" gestartet wurde. Das Resultat listet
einem erfolgreichen Bootvorgang inkl. Login nach Kalt- oder Warmstart. Dito anzuwenden beim Beenden/Herunterfahren
von Windows ("Der Ereignisprotokolldienst wurde beendet").
Da i.d.R. der o.g. Dienst immer als erster und letzter Eintrag protokolliert wird, hast du zumindest eine auf Minuten
genau Analyse vorliegen.

Das Ereignisprotokoll loggt längerfristig, somit kannst du dementsprechend auch An- und Abmeldungen nach Bootvorgängen
finden, welche schon eine geraume Zeit zurückliegen.

Gruß,

Sepia

#5 IMHO wäre die Verschlüsselung der sicherste Weg den Zugriff auf bestimmte Ordner erfolgreich zu unterbinden. Die Verwendung externer Speichermedien die man nach der Arbeit sicher aufbewahrt ist auch eine sowohl praktische als auch einfache Lösung.
Man sollte dabei auch bedenken daß Windows nicht einmal gestartet werden muß um an die Daten zu kommen und daß es verschiedene Wege gibt um den BIOS-Passwortschutz zu umgehen (funktioniert nicht bei alle Geräte aber bei den Meisten).

Gruß
Ajax