Logon und Logoff im Detail
Windows-Praxis: An- und Abmeldung erkennen und überwachen
Was kann man aus Ereignissen ablesen?
Wer unseren Ausführungen bis hierher gefolgt ist, mag nun vielleicht zu dem Schluss gekommen sein, dass die Ereignis-IDs ihm wenig oder überhaupt nicht nützen. Das ist sicher so nicht richtig, und wir wollen hier auf keinen Fall in Abrede stellen, dass diese Einträge in den Windows-Protokollen wichtig sind. Allerdings gibt es für Administratoren, die diese Ereignisse zur Kontrolle verwenden wollen, einige einschränkende Fakten, die sie beachten sollten, wenn sie auf diese Daten zurückgreifen:
• Wollen Sie sicher feststellen, auf welche Art und Weise sich ein Anwender angemeldet hat, so finden Sie diese Daten nur auf dem System, auf dem er sich angemeldet haben. Sie müssen also das entsprechenden Anmeldeereignis im Protokoll des entsprechenden Client-Rechners finden.
• Entsprechende Daten auf dem Domänen-Controller zu finden ist nur sehr schwer oder gar nicht möglich und beinhaltet sehr viele Vermutungen beziehungsweise sehr umfangreiche Nachforschungen (Stichwort: Forensische Untersuchungen).
• Das Gleiche gilt für die Abmeldung und damit für den Zeitraum, den ein Anwender an einem System verbracht hat: Sie müssen das Ereignis 4647/ 551 (Benutzerinitiierte Abmeldung) auf dem entsprechenden Windows-Client finden.
• Leider besteht keine direkte Verbindung zwischen Authentifizierungsereignissen auf einem Domänen-Controller und den entsprechenden Anmeldeereignissen auf einem Client oder einem Member-Server. Wer im Internet recherchiert, wird immer wieder Hinweise auf das Feld Anmelde-GUID auf dem Domänenserver finden: Leider stimmen diese nach unseren Erfahrungen nicht immer überein oder werden überhaupt nicht angezeigt
|
Logon-Typ |
Bezeichnung |
Beschreibung |
|
2 |
Interaktiv |
Die "normale" interaktive Anmeldung via Tastatur/Bildschirm. Hinweis: Anmeldungen via KVM oder KVM über IP werden von Windows auch unter diesem Typ abgespeichert. |
|
3 |
Netzwerk |
Wenn von einem anderen Standort über das Netz, beispielsweise einem Netzwerk-Share, auf das System zugegriffen wird. |
|
4 |
Batch |
Wenn Windows eine geplante Aufgabe (scheduled task) ausführt, führt der entsprechende Dienst (Scheduled Task Service) eine solche Anmeldung mit den benötigten Berechtigungen am System durch. |
|
5 |
Service |
Das gleiche Vorgehen wie bei "Batch" für andere Systemdienste, die sich anmelden |
|
7 |
Unlock |
Tritt auf, wenn ein mit Screen-Saver abgesperrtes Konto wieder freigeschaltet wird. |
|
8 |
Netzwerk(Klartext) |
Wird nur sehr selten auftauchen, da Windows-Server bei Dateifreigaben und Druckern keine Netzwerkverbindung erlauben, bei denen die Authentifizierung im Klartext erfolgt. |
|
9 |
NewCredentials |
Tritt auf, wenn zum Beispiel ein "runas"-Kommando verwendet wird, um ein Programm mit den Rechten eines anderen Kontos zu starten (Schalter /netonly) |
|
10 |
Remote Interactive |
Wenn ein Anwender über Terminal-Dienste, Remote-Desktop oder Remote-Unterstützung auf das System zugreift. |
|
11 |
Cached Interactive |
Ein spezielles Feature, das die Windows-Systeme für die Anmeldung von mobilen Anwendern bereitstellen. Ermöglicht die Anmeldung am System mit einem Domänenkonto, wenn gerade kein Zugriff auf den Domänen-Controller möglich ist. Windows bewahrt dabei die Hash-Werte der letzten zehn interaktiven Anmeldungen am DC auf. |