Unerklärliche Benutzerprofile auf Domain Controller [Solved]

[JohnnyFu 10]

Hi,

 

Ich habe auf einem Domain Controller, in einem Netzwerk das ich betreue, mir unerklärliche Benutzerprofile in C:\Doku...u...Einstellungen\ gefunden.

Nun.. eines ist klar, am genannten Speicherort werden die Profile erstellt wenn sich ein Benutzer an einem XP/2003 Computer anmeldet.

 

Allerdings handelt es sich um Profile von völlig "normalen" Benutzerkonten die an sich, zumindest Remote, gar keine Rechte haben um sich am DC anzumelden.

Und eine lokale Anmeldung (sofern überhaupt möglich), ist physisch ausgeschlossen.

 

Insgesamt habe ich neben Admin, Default und All User, 5 weitere Profile vorgefunden, alle wurden irgendwann im laufe des Novembers erstellt.

 

-der DC steht in einem Elektronisch gesichertem Raum

-nur der Domänen Admin Account hat Remote-Logon Rechte auf dem DC

 

!Lokale Anmeldung ist an sich ausgeschlossen, wegen Elektronischer Sicherung

?Soweit ich weiss ist normalen Benutzern, lokales anmelden am DC per default sowieso nicht erlaubt, stimmt das?

 

-Alle Profile sind zwischen 2.7MB und 3.4MB groß, also scheinbar fast leere/default profile

 

 

Wie kann es passieren, das 5 von ca. 50 Usern ihre Profile auf einem DC hinterlassen, wo sie meines Wissens eine Anmeldung ausgeschlossen ist.

 

An einem Benutzerprofil ist mir aufgefallen das heute morgen um 06:39 die NTUSER.DAT.LOG geändert wurde. Der Benutzer hat aber erst gegen 9 Uhr das Gebäude betretten und sich normal an seiner Workstation angemeldet.

 

Wie wäre die Profil erstellung zu erklären? Wofür ist NTUSER.DAT.LOG zuständig bzw. in welchen Situationen wird diese geändert?

 

Für eure fachlichen Meinungen und Ratschläge zu dieser Geschichte bin ich sehr Dankbar.

 

gruß

Johnny

[IThome 10]

Überprüfe doch einfach mal die Benutzerrechte, Gruppenzugehörigkeiten (Remotedesktopbenutzer, Domänen-Admins z.B.) dieser Benutzer, Berechtigungen des RDP-TCP Objektes in der Terminaldienstekonfiguration ...

[JohnnyFu 10]

Hi,

 

Das war natürlich das erste was ich überprüft habe.

-Die Benutzer sind in keinerlei Administrativen Gruppen, geschweige Remotebenutzer.

-Sie haben keine Rechte sich per RDP anzumelden.

[IThome 10]

Dienstkonten ?

[JohnnyFu 10]

Leider nein, es handelt sich wie gesagt um ganz normale Benutzer, die kommen morgens ins Büro, arbeiten mit Word und Excel, und gehen nachmittags wieder :)

[IThome 10]

Hast Du denn das Sicherheitslog des DCs schon mal dahingehend untersucht, wann sich die Benutzer von wo aus anmelden ? Vielleicht ist das hier auch was für Dich ...

http://support.microsoft.com/?scid=kb%3Ben-us%3B556015&x=10&y=12

[GerhardG 10]

verwendet ihr efs zur verschlüsselung?

[JohnnyFu 10]

Danke für den Link IThome, ich werde das Auditing jetzt richtig scharf machen.

 

Leider nein Gerhard.

 

Was denkt ihr, könnte das ganze ein indiz für ein kompromitiertes netzwerk sein?

[Steven2007 10]

Hallo,

 

um jetzt mal etwas ganz Absurdes in den Raum zu werfen:

 

Verwendet ihr Servergespeicherte Benutzerprofile?

Vielleicht landet da aus irgend einem Grund etwas in diesen Verzeichnissen?

 

Kompromittiert ist dein System wohl nicht, dazu wäre sowas viel zu auffällig, denke ich.

 

EDIT: Was mir gerade einfällt: Haben denn die fraglichen Benutzer Schreibrechte auf c:\Dokumente und Einstellungen\ auf dem Server? Wer ist bei den Dateien und Ordnern der Benutzer als "Besitzer" eingetragen?

 

Gruß,

 

Steven

[JohnnyFu 10]

Ja alle Benutzer, bis auf Administrative Konten haben Serverprofile.

 

Es sind aber defintiv nicht die Servergespeicherten Benutzerprofile, diese sind viel viel größer und liegen auch dort wo sie liegen sollen. Wie gesagt, die 5 Profile die ich vorgefunden habe sind praktisch leer, 2.7MB bis 3.4MB groß.

 

Zu der Datei NTUSER.DAT.LOG

 

Chapter 34 - Managing User Work Environments

When a user has a local user profile on a computer, the user profile folder contains the NTuser.dat file and a transaction log file named NTuser.dat.log. The log file is used to provide fault tolerance, allowing Windows NT to recover if a problem occurs while the NTuser.dat file is being updated.

 

Diese Datei wurde laut Zeitstempel heute morgen um 06:39, in allen Profilen, modifiziert. Im lokalen Dokumente und Einstellungen Ordner eines DCs, wo der Benutzer sich eigentlich nicht einmal anmelden kann und er es auch defintiv nicht getan hat :)

 

Leider gibt es im gesamten Internet keine quellen zu einem solchen Phänomen, bis auf: ntuser.dat.LOG Date Modified changed - user is denying that he logged in. Is this possible?

Und die Seite ist echt **** :)

 

EDIT: Schreibrechte auf C:\Doku....u...Einstell\ des DC's haben:

Administratoren und System

Lesen haben:

Jeder und Benutzer

 

Allerdings habe ich auch ein "Unbekanntes Konto S-1-5-32-547" (das ist die SID für die Hauptbenutzergruppe) mit Lesenrechten drin. Was schonmal merkwürdig scheint.

 

EDIT2: Mir fällt gerade auf das in allen Profilen der Ordner "Lokale Einstellungen" vorhanden ist. Dieser Ordner wird, wenn ich nicht Irre, selbst bei Servergespeicherten Profilen wie wir sie verwenden, niemals mit in den Profilspeiche auf dem Server übertragen.

Was wieder ein Indiz mehr dafür ist das tatsächlich irgend eine Art anmeldung auf dem Server statt gefunden hat.

[Steven2007 10]

Hallo,

 

interessant. Und wer steht als "Besitzer" der Dateien/Ordner drin? Rechtsklick auf die Datei - Sicherheit - Erweitert - Besitzer.

 

Es kann auch nicht sein, dass sich ein User an dem Server angemeldet hat, bevor dieser die Rolle des DC bekam, oder?

 

Gruß

[JohnnyFu 10]

Ausschliessen willl ich das nicht aber zu 99,9999999999999999999% haben die Benutzer sich nicht am Server angemeldet bevor er DC wurde. Wobei, eigentlich zu 100% :)

 

Vollzugriff auf die jeweiligen Profil Ordner selber haben jeweils, Benutzer, Administratoren, System.

Besitzer ist überall die Gruppe "Administratoren" :)

[Steven2007 10]

Hallo,

 

also das ist mal ultra-interessant ^^

 

Dieses Verhalten ist imho absolut nicht durch die Profile selbst zu erklären.

Eine Möglichkeit wäre höchstens, dass Sie mal von einem Administrator manuell auf den Server kopiert wurden, warum auch immer.

 

Gruß

[JohnnyFu 10]

Ja das war auch mein Gedanke. Ich bin erst seit gut einem Jahr in der Firma. Aber mein Admin Kollege war genauso erstaunt über den Fund der Profile wie ich selbst.

 

Fakt ist aber das die Profile dort in den letzten 3 Monaten modifziert oder erstellt wurden. Und das war weder ich noch der Kollege. Übrigens habe ich in einem anderem Netzwerk gleiches Phänomen gefunden. Mal sehen wo ich es morgen noch finde :)

 

Und was macht die Hauptbenutzer SID auf Dokumente und Einstellung eines DC's? Es gibt diese Gruppe überhaupt nicht auf DC's soweit ich weiss.

 

Wie ich auch immer, ich muss jetzt unbedingt schlafen, den brauche ich ganz ganz drigend! Kennt ihr sicherlich auch, hehe.

Und vielen Dank nochmal für eure Unterstützung!

[frr 11]

Hallo Johnny,

 

"GerhardG" hatte doch eine Frage gestellt. Dein Problem kommt nämlich sicherlich durch EFS. Wenn ein User auf einem Fileserver Dateien über das Netz verschlüsselt, dann werden bestimmte Teile des Profils auf den Fileserver kopiert (bei servergespeicherten Profilen) oder es werden neue Profile erstellt wenn die User nur lokale Profile haben.

 

Lange Rede kurzer Sinn: Prüfe auf dem Fileserver ob es verschlüsselte Dateien gibt. Bei der Suche hilft Dir das Tool "cipher".

 

Viele Grüße

 

Frank