Gibt es eine Möglichkeit herauszufinden, welcher Benutzer und/oder welcher Computer remote auf die Windows-Ereignisprotokolldateien meines Computers zugreift? Diese Zugriffe sperren Anwendungen auf dem lokalen Computer und verhindern so deren Löschung.
Dieser Zugriff wird im ProcessExplorer als TCP-Verbindung von mmc.exe auf dem Remotecomputer zu Port 5001 von svchost.exe (auf dem der Dienst „Eventlog“ ausgeführt wird) auf dem lokalen Computer angezeigt, aber das ist alles, was ich feststellen kann.
Ich habe überall nach dieser Antwort gesucht, aber nichts wirklich Nützliches gefunden, auch nicht beim Durchsuchen von WMI-Objekten mit PowerShell. Vielen Dank für jede Hilfe, die Sie anbieten können.
Antwort1
Zunächst einmal - es kann sein, dass niemand aus der Ferne auf Ihre Eventlogs zugreift. Eventlog-Dateien sind immer geöffnet. Sie sindSpeicherabgebildete Dateien, Sie können sie also nicht einfach von der Festplatte löschen.
Wenn Sie den Speicherplatz benötigen, müssen Sieeventvwr.mscund ändern Sie dort die maximale Größe der Protokolldatei. Die Änderung wird erst beim nächsten Neustart des Eventlog-Dienstes wirksam (was wahrscheinlich der Fall sein wird, wenn Sie den Computer neu starten).
Wenn Sie die Protokolle löschen (d. h. die Daten entfernen) möchten, können Sie dies auch imAbonnierenmmc-Snap-In.
Wenn Sie Ereignisprotokolle in einer löschbaren Datei speichern müssen, können Sie dasAutoBackupLogFilesRegistrierungsschlüssel, aber die speicherabgebildeten Dateien bleiben erhalten.
Wenn Sie immer noch den Verdacht haben, dass ein Benutzerkonto remote auf das Ereignisprotokoll Ihres Computers zugreift, und dazu gehört auch das Sicherheitsprotokoll, sollten Sie das Sicherheitsprotokoll aufVeranstaltungen mit der ID 4672und suchen Sie nach Konten, die sich mitSicherheitsprivilegaktiviert.
Wenn Sie nicht glauben, dass auf das Sicherheitsprotokoll zugegriffen wird, können Sie trotzdem nach Ereignissen im Sicherheitsprotokoll suchen mitNr. 4624, das Ihnen zeigen sollte, wer remote auf den Computer zugegriffen hat (es werden jedoch alle Benutzer einbezogen, nicht nur die, die auf die Ereignisprotokolle zugreifen). Dies sollte Ihre Liste der Verdächtigen zumindest eingrenzen.
Sie können immerwevtutilum den Protokollen eine Audit-SACL hinzuzufügen, von der Sie denken,Sindzugegriffen wird. Der Vorgang ist ähnlich wie beim Hinzufügen von Berechtigungen (DACL), außer dass Sie angeben, welche Dinge überwacht werden sollen, anstatt sie zuzulassen oder zu verweigern.
Etwas weniger elegant, aber wenn Sie eine Verbindung von der Remote-IP bemerken, können Sie versuchen, Folgendes auszuführen:qwinsta /server:Fernbedienung. Dadurch wird Ihnen angezeigt, wer an diesem Computer angemeldet ist, entweder lokal an der Konsole oder über Terminaldienste. Es hilft nicht, wenn der „Benutzer“ ein Dienstkonto oder eine geplante Aufgabe ist.
Antwort2
Sie können den Netzwerkmonitor verwenden, um den eingehenden Datenverkehr auf diesem bestimmten Port zu überwachen. Die Quell-IP wird deutlich angezeigt. Gehen Sie dazu wie folgt vor:
- Laden Sie Network Monitor von Microsoft herunter und installieren Sie es auf dem PC, der die Remoteverbindungen herstellt. Es ist ein kostenloses Tool.
- Erstellen Sie eine neue Erfassung und filtern Sie eingehende TCP-Verbindungen an Port 5001 (die Konfiguration ist ganz einfach, die Benutzeroberfläche ist benutzerfreundlich).
- Starten Sie die Erfassung und warten Sie, bis Pakete eintreffen. Die Quell-IP wird im Feld „Quelle“ der Liste angezeigt. Sie können sogar in die Pakete hineinschnüffeln und prüfen, ob bei der Verbindung ein Hinweis zur Authentifizierung angezeigt wird.