wirtnix 10 Geschrieben 19. Mai 2009 Melden Geschrieben 19. Mai 2009 hallo, ich habe einige 560 und 566 Einträge im Sicherheits-ereignisprotokoll eines Servers. User-ID ist Administrator und die Einträge besagen, dass Wordpad.exe und Notepad.exe benutzt wurden, um ein gewisses Verzeichnis aufzulisten. bevor ich hier alle scheu mache: kann es sein, dass ein berechtigter user eine suche von seinem desktop-PC aus gestartet hat und das system den Administrator-account als User-ID ins ereignisprotokoll eingetragen hat(warum auch immer), oder ist anzunehmen, dass hier der admin sich am server angemeldet hat und das verzeichnis durchsuchte? :suspect:
NilsK 3.057 Geschrieben 19. Mai 2009 Melden Geschrieben 19. Mai 2009 Moin, wenn das Log den User Administrator ausweist, dann war auch der Administrator an den jeweiligen Server angemeldet. Ob das lokal oder remote ist, ist dabei sekundär, ebenso, ob der User tatsächlich lokal angemeldet war oder ob es eine "runas"-Session oder z.B. ein Task oder ein Dienst war. Gruß, Nils
wirtnix 10 Geschrieben 19. Mai 2009 Autor Melden Geschrieben 19. Mai 2009 habs - im Moment - herausgefunden: es ist so ein Word-makro-plugin-dingens von einem Etikettenhersteller. das wurde als Programm im Administrator-kontext installiert und führt seine Adress-suche in diesem kontext aus, sobald man es aktiviert. (haarsträubend) :shock:
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden