stebinjojo
Newbie
- Registriert
- Okt. 2017
- Beiträge
- 1
Hallo zusammen,
habe schon einiges versucht zu recherchieren komme aber der Ursache nicht auf die Spur.
Folgendes Szenario:
Windows 2012R2-Domäne mit Windows 7-Clients. Auf einem dieser PCs werden nun immer mind. 1x täglich folgende IDs geloggt 4672, 4624 und 4634.
Hierbei treten 4672 und 4624 zeitgleich auf und nach ca. 12-14 Sekunden Event 4634.
Bei dem jeweils im Event erfassten Benutzer handelt es sich um einen anderen Benutzer-Account aus der Domäne, als der auf dem "betroffenen" PC angemeldete.
Hier mal der Auszug aus dem Event 4624:
(durch x ersetzte Zeichen wurden verändert -> alles andere ist im Original so eingetragen)
Wird hier versucht Zugriff auf den PC zu bekommen? Wenn ja durch welches Szenario?
Hatte gelesen, dass diese Einträge erscheinen können wenn unter dem "verdächtigen" Account zentrale Dienste eingerichtet wurden und diese zyklisch ablaufen (Verwaltungstool, Software-Verteilung, Virenscans, etc.)
Für das zyklische spricht das eben immer zwischen Anmeldung und Abmeldung 14 Sekunden liegen.
Oder eben geteilte Freigaben / Drucker auf dem PC vorhanden sind und genutzt werden?!
Danke & Gruß
habe schon einiges versucht zu recherchieren komme aber der Ursache nicht auf die Spur.
Folgendes Szenario:
Windows 2012R2-Domäne mit Windows 7-Clients. Auf einem dieser PCs werden nun immer mind. 1x täglich folgende IDs geloggt 4672, 4624 und 4634.
Hierbei treten 4672 und 4624 zeitgleich auf und nach ca. 12-14 Sekunden Event 4634.
Bei dem jeweils im Event erfassten Benutzer handelt es sich um einen anderen Benutzer-Account aus der Domäne, als der auf dem "betroffenen" PC angemeldete.
Hier mal der Auszug aus dem Event 4624:
(durch x ersetzte Zeichen wurden verändert -> alles andere ist im Original so eingetragen)
Code:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldeinformationen:
Anmeldetyp: 3
Eingeschränkter Administratormodus: (null)
Virtuelles Konto: (null)
Token mit erhöhten Rechten: (null)
Identitätswechselebene: (null)
Neue Anmeldung:
Sicherheits-ID: S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx
Kontoname: xxxxxxx <- Benutzer B
Kontodomäne: xxxxxxx
Anmelde-ID: 0xxxxxxx
Verknüpfte Anmelde-ID: (null)
Netzwerk-Kontoname: (null)
Netzwerk-Kontodomäne: (null)
Anmelde-GUID: {xxxxxAxx-xxxx-xxxx-xxxx-xCEExxxDDxxx}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: ?
Quellnetzwerkadresse: xxx.xx.xxx.xx
Quellport: xxxxx
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0Wird hier versucht Zugriff auf den PC zu bekommen? Wenn ja durch welches Szenario?
Hatte gelesen, dass diese Einträge erscheinen können wenn unter dem "verdächtigen" Account zentrale Dienste eingerichtet wurden und diese zyklisch ablaufen (Verwaltungstool, Software-Verteilung, Virenscans, etc.)
Für das zyklische spricht das eben immer zwischen Anmeldung und Abmeldung 14 Sekunden liegen.
Oder eben geteilte Freigaben / Drucker auf dem PC vorhanden sind und genutzt werden?!
Danke & Gruß
