Benni_Frank 0 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Hallo liebes Forum, ich habe die Befürchtung, dass sich jemand hin und wieder in meinen AD-User Account einloggt, auf dem Terminalserver Outlook startet und von meinem Namen aus vom Exchange 2016/2019 on-Premises (weiß nicht genau) Mails verschickt. Kann man irgendwie nachhalten, ob sich jemand am Exchange Server in meinem Namen anmeldet durch MAC-Adressen oder ähnliches? Wie kann man nach verfolgen, wer sich wann einloggt? Danke im Voraus! Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Moin, Das Kennwort ändern? Gruß, Nils 1 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 vor 1 Stunde schrieb NilsK: Das Kennwort ändern? Das würde das Problem zwar heilen, beantwortet die ursprüngliche Frage aber nicht. Daher, der Vollständigkeit halber (ich schreibe überall "Du", es sollte aber klar sein, dass der jeweilige Administrator gemeint ist - wenn "Du" nur End-User in der Umgebung bist, bist Du hier machtlos): Mailversand kannst Du in den Message Tracking Logs des Exchange verfolgen Anmeldung kannst Du (nachdem Auditing aktiviert wurde) in den Security Logs des DC verfolgen, damit weißt Du Zeitpunkt und IP-Adresse des Terminalservers. Wenn da stattdessen die Adresse des Exchange Servers als Quelle steht, wurde nicht eine Anmeldung am Terminalserver, sondern OWA, EWS oder ActiveSync verwendet. Wenn tatsächlich fest steht, dass Diejenige sich mit Deinem Account am Terminalserver angemeldet hat, kannst Du im TerminalServer-Log herausfinden, von welcher IP-Adresse die Verbindung kam. Wenn Du Pech hast, steht da der RemoteDesktop-Gateway, dann war die Verbindung vielleicht extern, und die Logs des RDG liefern Dir eine dynamische Adresse bei Vodafone. Mit dieser kannst Du dann zur Polizei gehen. Also: Lieber einfach das Kennwort ändern. Und nicht vergessen, den Post-It-Zettel auf der Unterseite der Tastatur zu aktualisieren! 2 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Moin, ja, natürlich war die Frage eine andere. Wenn jemand aber vor seiner offenen Tür steht und fragt, wie er Einbrechern auf die Spur kommen kann, weil ihn die Einbrüche stören ... Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Benni_Frank 0 Geschrieben 8. April 2022 Autor Melden Teilen Geschrieben 8. April 2022 Hallo zusammen, vielen lieben Dank für eure Antworten. Mit anderen Worten: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? Danke erneut an alle! Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Woher glaubst du dass jemand in deinem Namen eMail verschickt? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 vor 15 Minuten schrieb Benni_Frank: Mit anderen Worten: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? Wenn der Admin nicht vertrauenswürdig ist, hat die Organisation eh verloren. Wenn Du einen berechtigten Verdacht hast, muss die Geschäftsführung sich darum kümmern. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.480 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Dann müsste der Admin oder eine andere Person aber dein Passwort kennen. Also erst mal das ändern wie bereits vorgeschlagen. u Und um es mit Sheldon zu sagen 1234 ist kein gutes Passwort.. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 vor 40 Minuten schrieb Benni_Frank: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? Richtig und vor allem melden die sich dann trotzdem nicht als du an. ;) Zitieren Link zu diesem Kommentar
Benni_Frank 0 Geschrieben 8. April 2022 Autor Melden Teilen Geschrieben 8. April 2022 vor 16 Minuten schrieb NorbertFe: Richtig und vor allem melden die sich dann trotzdem nicht als du an. ;) na prima. Wenn also der Sysadmin in meinem Namen Mails verschickt und mir damit schaden will, dann habe ich keine Chance? Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Wenn der Admin was tut, hast du so oder so keine Chance. Diese Erkenntnis dürfte nicht neu sein. Wurde dir von anderen ja bereits erklärt. Was nicht heißt, dass dein Admin das tut, oder du ihm jetzt pauschal misstrauen sollst. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Moin, um es noch mal ganz ausdrücklich zu sagen: in dein Konto einloggen kann sich nur, wer dein Kennwort kennt. Das träfe auf einen Admin genauso zu wie auf jeden anderen Menschen der Welt. Ein Admin könnte zwar dein Kennwort ändern und sich dann an den Account anmelden - das würdest du aber merken, weil du dich dann ja selbst nicht mehr anmelden kannst. Wenn jemand aber dein Kennwort kennt und sich damit an deinen Account anmeldet, dann wird es auch schwierig nachzuweisen, wer das war. Aus Sicht von Windows ist das ja eine ganz normale Anmeldung. Man kann dann zusätzliche Informationen sammeln, aber Aufwand und Nutzen stehen kaum in einem sinnvollen Verhältnis. Und es ändert ja nichts: Wenn du den Verdacht hast, dann änder dein Kennwort. Dann hört das im selben Moment auf. Wo du deinen Verdacht herhast und was du damit machst, musst du selbst wissen. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 9. April 2022 Melden Teilen Geschrieben 9. April 2022 Hi, für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen. Das wichtigste wäre aber wohl einmal die Frage weiter oben von @Dukel zu klären: "Woher glaubst du dass jemand in deinem Namen eMail verschickt?" Vielleicht ist es ja "nur" Spam bzw. eine der Nachwirkungen von Hafnium und Co. Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 10. April 2022 Melden Teilen Geschrieben 10. April 2022 Moin, vor 16 Stunden schrieb testperson: für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen. natürlich nicht, aber genau wie jede andere Person müsste der Admin dafür Hacking-Methoden einsetzen. Einfach so in einen anderen Account einloggen kann man sich in Windows auch als Admin nicht - das ist in diesem Fall schon wichtig zu wissen. Genau wie ihr vermute ich auch, dass die Situation eine andere ist als befürchtet. Aber das ist auch nur Spekulation. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.