Jump to content

Active Directory: Was bedeutet das Attribut "whenChanged" bei einem Benutzer genau?

magicpeter

Von magicpeter
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

daabm Grand Master

daabm   1.429

Geschrieben
Geschrieben (bearbeitet)
vor 7 Stunden schrieb magicpeter:

Ahja, hatte jemand von euch denn schon mal den Hafnium Spaß in seinem Netzwerk?

Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"...

Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen.

 

Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde.

bearbeitet von daabm
magicpeter Veteran

magicpeter   13

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 9 Stunden schrieb daabm:

Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"...

Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen.

 

Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde.

Moin daabm,

danke für den Tip "repadmin". 
Ich habe mir jetzt einmal die Veränderungen angeschaut. Das sieht für mich aber völlig normal aus oder?

Die meisten Werte sind sehr alt und resultieren aus der Erstellung des Objects. Die einzig aktuellen Werte aus diesem Jahr sind:
 

msExchBlockedSendersHash = Dieses Attribut speichert den Hash der Auflistung Liste sicherer Absender für den Benutzer.

lastLogonTimestamp = Das Active Directory Attribut lastLogonTimestamp zeigt den exakten Zeitpunkt, an dem sich der Benutzer das letzte Mal erfolgreich in der Domäne authentisiert hat.

 

Das sieht für mich jetzt nicht wie ein Hackerangriff aus. Zumindest bei diesem AD Object.

Ich habe da einmal einen kleinen Screenshot gemacht. Sehr ihr da etwa auffälliges?

 

repadmin.jpg

bearbeitet von magicpeter
magicpeter Veteran

magicpeter   13

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 25 Minuten schrieb Dukel:

Wieviel Forensic Erfahrung hast du, dass du beurteilen kannst, ob es ein Angriff gab?
Wenn du dir nicht sicher bist, beauftrage jemand, der das prüft.

Hättest du da jemanden den du mir empfehlen könntest?

 

Aktueller Statusbericht der eingeleitet Aktionen:

 

Einspielen der MS Sicherheitsupdates - KB5000871 
Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1
Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen
Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT)
Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter
Informationsschreiben erstellt und an alle betroffenen Kunden verschickt 
Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner
Monitoring-Tool installiert und system überwacht - Sysmon
Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin
Server mit Virus Removal Tool prüfen und bereinigen - Sophos Removal Tool
VM mit Recovery Tool überprüft und bereinigt
E-Mail Informationsspeicher auf Bedrohung überprüft 
Passwörter im Active Directory geändert

Tägliche Überprüfung der Server auf weitere Bedrohung
Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche

 

Hat jemand sonst noch eine Idee was man noch tun könnte?
Danke euch.

 

bearbeitet von magicpeter
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...