Logon und Logoff im Detail
Windows-Praxis: An- und Abmeldung erkennen und überwachen
Anwender denken häufig, dass die Administratoren einen perfekten Überblick über jede noch so geringe Aktivität besitzen, die sie auf ihrem PC ausführen. Das gilt besonders für Nutzer, die in einem Firmennetzwerk mit Active Directory arbeiten: Gerade die vielfältigen Möglichkeiten, die den Systembetreuern mit den mächtigen Gruppenrichtlinien-Objekten (GPO - Group Policy Object) zur Verfügung stehen, erwecken den Eindruck der Allmacht der IT.
Doch die Komplexität moderner Systeme fordert auch hier ihren Tribut: So sind Administratoren in Windows-Netzwerken weit davon entfernt, alle Tätigkeiten ihrer Nutzer komplett überwachen zu können. Manchmal ist es für die Systemverwalter schon schwer festzustellen, wann und wo ein Nutzer sich angemeldet hat, und vor allen Dingen auch, wie lange er an einem System gearbeitet hat.
Bei unseren Recherchen haben wir festgestellt, dass es viele Ereignisse gibt, die das Windows-System rund um das An- und Abmelden protokollieren. Wir versuchen, einen Überblick darüber zu geben, und geben Tipps, die bei den Nachforschungen im Bereich An- und Abmeldung hilfreich sein können. Dazu ist es allerdings erforderlich, sich eingehender mit den unterschiedlichen Anmeldevorgängen unter Windows auseinanderzusetzen. Wir beziehen uns hierbei auf die derzeit gängigen Windows-Systeme; etwaige Unterschiede sind jeweils vermerkt.
- Windows Logon
Der Dreh- und Angelpunkt bei der Bearbeitung der An-/Abmeldung unter Windows: Der Systemdienst lsass (Local Security Authority Subsystem Service) ist für diese wichtigen Operationen verantwortlich und schreibt auch die Informationen in die Sicherheitsprotokolle. - Windows Logon
. Standardanmeldung an einem Windows-System (hier einem Windows Server 2008 R2: Im Ereignisprotokoll wird im Bereich Sicherheit ein Ereignis mit der ID 4624 angelegt. - Windows Logon
Die Ereignis-IDs wurden mit dem Erscheinen der neuen Betriebssystemgeneration glücklicherweise nicht geändert: Die Anmeldung auf einem Windows Server 2012 mit der ID 4624 und dem Anmeldetyp 10 (Remote Interactive), die hier via Remotedesktop erfolgte. - Windows Logon
An der Ereignis-ID (4624) ist nur zu erkennen, dass sich diese Workstation erfolgreich authentifiziert hat – erst ein Blick „in das Ereignis“ zeigt dem Administrator dann, an welcher Domäne (hier „Firma“) sich der PC authentifiziert hat. - Windows Logon
Die Anmelde-ID wird auch bei der Abmeldung vom System in das Ereignisprotokoll geschrieben: Hier kann ein Zusammenhang zwischen An- und Abmeldung gefunden werden. Allerdings ist diese ID nur bis zum nächsten Neustart eindeutig! - Windows Logon
Die Remoteserver-Verwaltungstools werden als Windows-Update bereitgestellt und müssen dann bei den Windows-Funktionen explizit aktiviert werden, damit die gewünschten Werkzeuge auf dem Client bereitstehen. - Windows Logon
AD-Verwaltung vom Client aus: Mit den Remoteserver-Verwaltungstools kommt auch die Konsole für die Verwaltung von Gruppenrichtlinien (GMPC) auf ein Windows-7-System. - Windows Logon
So bekommt der Administrator die Anmeldeereignisse aufgezeichnet: Mittels einer Gruppenrichtlinie wird festgelegt, bei welche Anmeldeereignisse auf den entsprechenden Systemen ihren Weg in das Sicherheitsprotokoll von Windows finden.
Der "normale Fall": Anmeldung am PC
Meldet sich ein Anwender an einem Desktop-System an - also einem "normalen" Windows-Rechner, der sich nicht in einer Windows-Domäne befindet -, so funktioniert dies ausschließlich mit einem lokalen Konto. Es handelt es sich dabei um ein Konto, das beispielsweise auf einem Windows-7-System in der Systemsteuerung unter Benutzerkonten und Jugendschutz/Benutzerkonten angelegt wurde.
Abgelegt werden die Benutzerinformationen (Name/Kennwort) als Hash-Wert in einer Datenbank, die bei den Windows-Systemen von der Sicherheitskontenverwaltung (SAM - Security Accounts Manager) bearbeitet wird. Sie ist normalerweise unter dem Pfad %windir%\system32\config\SAM zu finden.
Der Systemdienst lsass.exe (Local Security Authority Subsystem Service) ist für das Durchsetzen der Sicherheitsrichtlinien auf den Windows-Systemen zuständig: Er überprüft die Benutzerinformation sowohl bei einer lokalen Anmeldung an einer Workstation als auch bei einer Anmeldung an einem Server, schreibt die entsprechenden Informationen in die Sicherheitsprotokolle (Log-Dateien), stellt ein Access Token zur Verfügung und verarbeitet beispielsweise auch Änderungen eines Passwortes.