wirtnix 10 Geschrieben 19. Mai 2009 Melden Geschrieben 19. Mai 2009 hallo, ich habe einige 560 und 566 Einträge im Sicherheits-ereignisprotokoll eines Servers. User-ID ist Administrator und die Einträge besagen, dass Wordpad.exe und Notepad.exe benutzt wurden, um ein gewisses Verzeichnis aufzulisten. bevor ich hier alle scheu mache: kann es sein, dass ein berechtigter user eine suche von seinem desktop-PC aus gestartet hat und das system den Administrator-account als User-ID ins ereignisprotokoll eingetragen hat(warum auch immer), oder ist anzunehmen, dass hier der admin sich am server angemeldet hat und das verzeichnis durchsuchte? :suspect: Zitieren
NilsK 2.982 Geschrieben 19. Mai 2009 Melden Geschrieben 19. Mai 2009 Moin, wenn das Log den User Administrator ausweist, dann war auch der Administrator an den jeweiligen Server angemeldet. Ob das lokal oder remote ist, ist dabei sekundär, ebenso, ob der User tatsächlich lokal angemeldet war oder ob es eine "runas"-Session oder z.B. ein Task oder ein Dienst war. Gruß, Nils Zitieren
wirtnix 10 Geschrieben 19. Mai 2009 Autor Melden Geschrieben 19. Mai 2009 habs - im Moment - herausgefunden: es ist so ein Word-makro-plugin-dingens von einem Etikettenhersteller. das wurde als Programm im Administrator-kontext installiert und führt seine Adress-suche in diesem kontext aus, sobald man es aktiviert. (haarsträubend) :shock: Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.