Logon und Logoff im Detail

Windows-Praxis: An- und Abmeldung erkennen und überwachen

Dateifreigaben und die verschiedenen Typen einer Anmeldung

Anwender, die sich im Netzwerk an ihrem PC angemeldet werden, möchten in der Regel danach wieder die Verbindung zu den Dateifreigaben auf den verschiedenen Dateiservern vorfinden. Auch für diese Verbindung ist eine Anmeldung an dem entsprechenden Serversystem mit den richtigen Berechtigungen selbstverständlich notwendig.

Dabei ist interessant, welche Daten bei dieser Form der Anmeldung aufgezeichnet und in den Sicherheitsprotokollen ablegt werden. In diesem Fall handelt es sich bei der Anmeldung um eine "Netzwerkanmeldung" an dem Dateiserver. Wie geht der Server mit einer derartigen Anmeldung um? Jeder Anwender wird annehmen, dass ein solcher Vorgang auf die gleiche Art und Weise abläuft wie bei der interaktiven Anmeldung eines Nutzers: Die Sitzung beginnt, wenn der Anwender eine Verbindung zur Dateifreigabe aufbaut, und endet erst dann, wenn er diese wieder trennt. Diese Trennung von der Dateifreigabe wird dabei - so die Vermutung - automatisch erfolgen, sobald sich der Nutzer von seinem lokalen PC abmeldet, der diese Verbindung aufgebaut hat.

Das ist aber in der Praxis nicht der Fall: Die Windows-Server halten die Netzwerksitzungen nur so lange offen, wie der Anwender, der darauf zugreift, auf dem Server eine Datei geöffnet hat. Dadurch finden sich im Ereignisprotokoll des Dateiservers in der Regel sehr viele An- und Abmeldevorgänge eines Nutzers während eine einzigen Tages: Jedes Mal, wenn er die Datei wieder öffnet, meldet sich seine Workstation an dem Server mittels Netzwerkanmeldung dort an und nach dem Schließen der Datei auch wieder ab. Bis zu Windows Server 2003 waren diese Anmeldeereignisse noch leicht zu unterscheiden, da sie dort mit der ID 540 im Gegensatz zur interaktiven Anmeldung mit der ID 528 protokolliert wurden: Seit Windows Server 2008 werden alle Anmeldereignisse mit der ID 4624 ins Protokoll geschrieben.

Genauso sieht es aus, wenn sich der Administrator direkt an einem Server anmeldet: In den meisten Fällen wird dies in der Praxis über eine Remote-Desktop-Sitzung geschehen. Aber diese wird ebenso wie die normale Anmeldung via Tastatur und Bildschirm am Server ebenfalls mit der ID 4624/ 528 protokolliert. Wer an dieser Stelle mehr über die Art der Anmeldung erfahren will, muss nun die Eigenschaften des Ereignisse wechseln und sich dort den Typ der Anmeldung anschauen, die dort vermerkt sind. Sie werden an dieser Stelle ebenfalls durch eine eindeutigen ID und eine kurze Beschreibung angezeigt. Wir haben zudem eine Tabelle zusammengestellt, die einen Überblick über die häufig auftretenden Typen der Anmeldung auf einem Windows-System gibt - deren Identifikationen wurden zum Glück auch nicht geändert und finden sich einheitlich sowohl auf Windows-XP- als auch auf Windows-8- und Windows-Server-2012-Systemen wieder.