Unerlaubter Zugriff durch ehemaligen User???

22/12/2007 - 19:44 von Philipp | Report spam
Hallo zusammen,

bei meinem SBS 2003 bin ich gerade auf die folgende - in meinen Augen recht
sonderbare - Sache gestoßen:

Ende September bzw. Anfang Oktober habe ich einen Nutzer von der Nutzung des
Servers ausgeschlossen, indem ich seinen Account und den seines Rechners
erstmal gesperrt und anschließend den Account gelöscht habe.

Nun mache ich gerade den "Erweiterter Nutzungsbericht für den XXX-Server"
auf und entdecke dort aktivitàten dieses - mittlerweile schon etwa drei
Monate - nicht mehr existierenden Rechners in den letzten beiden Wochen.

Wie kann das sein, dass ich den Rechnernamen mit detaillierten Zeiten finde,
obwohl dieser nicht mehr auf den Server und das Netz zugreifen dürfte.

Der Exuser samt Rechner sitzt nicht im selben Netzwerk, hatte sich
seinerzeit nur per VPN-Verbindung mit dem SBS 2003 verbunden.

Kann mir jemand weiterhelfen bei:

a) wie stelle ich fest ob tatsàchlich im Zeitraum der letzten zwei Wochen
ein Zugriff stattgefunden hat?

b) wie kann ich zukünftig sowas unterbinden?

Vielen Dank für Eure Mithilfe und schöne Feiertage

Philipp
 

Lesen sie die antworten

#1 Tobias Redelberger \(MVP - SBS\)
23/12/2007 - 12:58 | Warnen spam
Hi Philipp,

bei meinem SBS 2003 bin ich gerade auf die folgende - in meinen Augen
recht sonderbare - Sache gestoßen:

Ende September bzw. Anfang Oktober habe ich einen Nutzer von der
Nutzung des Servers ausgeschlossen, indem ich seinen Account und den
seines Rechners erstmal gesperrt und anschließend den Account
gelöscht habe.

Nun mache ich gerade den "Erweiterter Nutzungsbericht für den
XXX-Server" auf und entdecke dort aktivitàten dieses - mittlerweile
schon etwa drei Monate - nicht mehr existierenden Rechners in den
letzten beiden Wochen.

Wie kann das sein, dass ich den Rechnernamen mit detaillierten Zeiten
finde, obwohl dieser nicht mehr auf den Server und das Netz zugreifen
dürfte.

Der Exuser samt Rechner sitzt nicht im selben Netzwerk, hatte sich
seinerzeit nur per VPN-Verbindung mit dem SBS 2003 verbunden.

Kann mir jemand weiterhelfen bei:

a) wie stelle ich fest ob tatsàchlich im Zeitraum der letzten zwei
Wochen ein Zugriff stattgefunden hat?

b) wie kann ich zukünftig sowas unterbinden?



vermutlich hat der Exuser noch ein Passwort eines bestehenden Accounts
Deines SBS 2003 mit VPN-einwahlrechten und benutzt seinen alten PC (der
dafür in den Standardsicherheitsrichtlinien KEIN Computeraccount braucht)
sich damit einzuwàhlen.

Tipp: Passwörter NIE an mehreren Personen verteilen und jeden auffordern
(und ggf. sanktionieren bei Zuwiderhandlung) NIE sein Passwort 3.
preiszugeben, nicht mal der Geschàftsführung oder der IT-Abteilung.

Aktuell kannst Du nur jeden bitten (bzw. mittels AD-Regel) seine Passwörter
zu àndern und Du als Admin jeden Account gegenprüfen, ob er noch benötigt
wird.

Aus den Sicherheitslogs (und bei eingeschalteter Überwachung) kannst Du
erfahren, ob und wann sich jemand eingelogt und worauf zugegriffen hat.

Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (179) 25 98 341
Email:

Ähnliche fragen