Nachverfolgung von Absendern (physisch)

[Benni_Frank 0]

Hallo liebes Forum,

 

ich habe die Befürchtung, dass sich jemand hin und wieder in meinen AD-User Account einloggt, auf dem Terminalserver

Outlook startet und von meinem Namen aus vom Exchange 2016/2019 on-Premises (weiß nicht genau)

Mails verschickt. Kann man irgendwie nachhalten, ob sich jemand am Exchange Server in meinem 

Namen anmeldet durch MAC-Adressen oder ähnliches?

 

Wie kann man nach verfolgen, wer sich wann einloggt? 

 

Danke im Voraus!

 

 

[NilsK 2.934]

Moin,

 

Das Kennwort ändern?

 

Gruß, Nils

[cj_berlin 1.315]

vor 1 Stunde schrieb NilsK:

Das Kennwort ändern?

Das würde das Problem zwar heilen, beantwortet die ursprüngliche Frage aber nicht.

 

Daher, der Vollständigkeit halber (ich schreibe überall "Du", es sollte aber klar sein, dass der jeweilige Administrator gemeint ist - wenn "Du" nur End-User in der Umgebung bist, bist Du hier machtlos):

• Mailversand kannst Du in den Message Tracking Logs des Exchange verfolgen
• Anmeldung kannst Du (nachdem Auditing aktiviert wurde) in den Security Logs des DC verfolgen, damit weißt Du Zeitpunkt und IP-Adresse des Terminalservers. Wenn da stattdessen die Adresse des Exchange Servers als Quelle steht, wurde nicht eine Anmeldung am Terminalserver, sondern OWA, EWS oder ActiveSync verwendet.
• Wenn tatsächlich fest steht, dass Diejenige sich mit Deinem Account am Terminalserver angemeldet hat, kannst Du im TerminalServer-Log herausfinden, von welcher IP-Adresse die Verbindung kam.
• Wenn Du Pech hast, steht da der RemoteDesktop-Gateway, dann war die Verbindung vielleicht extern, und die Logs des RDG liefern Dir eine dynamische Adresse bei Vodafone. Mit dieser kannst Du dann zur Polizei gehen.

Also: Lieber einfach das Kennwort ändern. Und nicht vergessen, den Post-It-Zettel auf der Unterseite der Tastatur zu aktualisieren!

[NilsK 2.934]

Moin,

 

ja, natürlich war die Frage eine andere. Wenn jemand aber vor seiner offenen Tür steht und fragt, wie er Einbrechern auf die Spur kommen kann, weil ihn die Einbrüche stören ...

 

Gruß, Nils

 

[Benni_Frank 0]

Hallo zusammen,

 

vielen lieben Dank für eure Antworten. 

 

Mit anderen Worten: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? 

 

Danke erneut an alle! 

[Dukel 454]

Woher glaubst du dass jemand in deinem Namen eMail verschickt?

[cj_berlin 1.315]

vor 15 Minuten schrieb Benni_Frank:

Mit anderen Worten: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? 

Wenn der Admin nicht vertrauenswürdig ist, hat die Organisation eh verloren.

Wenn Du einen berechtigten Verdacht hast, muss die Geschäftsführung sich darum kümmern.

[Nobbyaushb 1.471]

Dann müsste der Admin oder eine andere Person aber dein Passwort kennen.

Also erst mal das ändern wie bereits vorgeschlagen.

u

Und um es mit Sheldon zu sagen 1234 ist kein gutes Passwort..

[NorbertFe 2.034]

vor 40 Minuten schrieb Benni_Frank:

Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? 

Richtig und vor allem melden die sich dann trotzdem nicht als du an. ;)

[Benni_Frank 0]

vor 16 Minuten schrieb NorbertFe:

Richtig und vor allem melden die sich dann trotzdem nicht als du an. ;)

na prima. Wenn also der Sysadmin in meinem Namen Mails verschickt und mir damit schaden will, dann habe ich keine Chance? 

[NorbertFe 2.034]

Wenn der Admin was tut, hast du so oder so keine Chance. Diese Erkenntnis dürfte nicht neu sein. Wurde dir von anderen ja bereits erklärt. Was nicht heißt, dass dein Admin das tut, oder du ihm jetzt pauschal misstrauen sollst.

[NilsK 2.934]

Moin,

 

um es noch mal ganz ausdrücklich zu sagen: in dein Konto einloggen kann sich nur, wer dein Kennwort kennt. Das träfe auf einen Admin genauso zu wie auf jeden anderen Menschen der Welt. Ein Admin könnte zwar dein Kennwort ändern und sich dann an den Account anmelden - das würdest du aber merken, weil du dich dann ja selbst nicht mehr anmelden kannst.

 

Wenn jemand aber dein Kennwort kennt und sich damit an deinen Account anmeldet, dann wird es auch schwierig nachzuweisen, wer das war. Aus Sicht von Windows ist das ja eine ganz normale Anmeldung. Man kann dann zusätzliche Informationen sammeln, aber Aufwand und Nutzen stehen kaum in einem sinnvollen Verhältnis. Und es ändert ja nichts: Wenn du den Verdacht hast, dann änder dein Kennwort. Dann hört das im selben Moment auf.

 

Wo du deinen Verdacht herhast und was du damit machst, musst du selbst wissen.

 

Gruß, Nils

 

[testperson 1.677]

Hi,

 

für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen.

 

Das wichtigste wäre aber wohl einmal die Frage weiter oben von @Dukel zu klären: "Woher glaubst du dass jemand in deinem Namen eMail verschickt?" Vielleicht ist es ja "nur" Spam bzw. eine der Nachwirkungen von Hafnium und Co.

 

Gruß

Jan

[NilsK 2.934]

Moin,

 

vor 16 Stunden schrieb testperson:

für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen.

natürlich nicht, aber genau wie jede andere Person müsste der Admin dafür Hacking-Methoden einsetzen. Einfach so in einen anderen Account einloggen kann man sich in Windows auch als Admin nicht - das ist in diesem Fall schon wichtig zu wissen.

 

Genau wie ihr vermute ich auch, dass die Situation eine andere ist als befürchtet. Aber das ist auch nur Spekulation.

 

Gruß, Nils