Jump to content

Active Directory: Was bedeutet das Attribut "whenChanged" bei einem Benutzer genau?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 7 Stunden schrieb magicpeter:

Ahja, hatte jemand von euch denn schon mal den Hafnium Spaß in seinem Netzwerk?

Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"...

Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen.

 

Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde.

bearbeitet von daabm
Link zu diesem Kommentar
vor 9 Stunden schrieb daabm:

Nein, außer Dir kenne ich niemand. Und ich kenne auch niemand, der meinte, daß er das "mal eben so" wieder los wird ohne "mach alles neu"...

Edit: Ich kenne auch sonst nur wenige, die derart blauäugig vorgehen.

 

Zum Thema "whenChanged": repadmin sagt Dir, was da geändert wurde.

Moin daabm,

danke für den Tip "repadmin". 
Ich habe mir jetzt einmal die Veränderungen angeschaut. Das sieht für mich aber völlig normal aus oder?

Die meisten Werte sind sehr alt und resultieren aus der Erstellung des Objects. Die einzig aktuellen Werte aus diesem Jahr sind:
 

msExchBlockedSendersHash = Dieses Attribut speichert den Hash der Auflistung Liste sicherer Absender für den Benutzer.

lastLogonTimestamp = Das Active Directory Attribut lastLogonTimestamp zeigt den exakten Zeitpunkt, an dem sich der Benutzer das letzte Mal erfolgreich in der Domäne authentisiert hat.

 

Das sieht für mich jetzt nicht wie ein Hackerangriff aus. Zumindest bei diesem AD Object.

Ich habe da einmal einen kleinen Screenshot gemacht. Sehr ihr da etwa auffälliges?

 

repadmin.jpg

bearbeitet von magicpeter
Link zu diesem Kommentar
vor 25 Minuten schrieb Dukel:

Wieviel Forensic Erfahrung hast du, dass du beurteilen kannst, ob es ein Angriff gab?
Wenn du dir nicht sicher bist, beauftrage jemand, der das prüft.

Hättest du da jemanden den du mir empfehlen könntest?

 

Aktueller Statusbericht der eingeleitet Aktionen:

 

Einspielen der MS Sicherheitsupdates - KB5000871 
Überprüfung ob Angriff stattgefunden hat - Test-ProxyLogon.ps1
Isolierung Ihres Exchange Servers - Ports auf der Firewall geschlossen
Anwendung des MS Tool - Exchange On-Premises Minderungstool (EOMT)
Automatische Scripte erstellt - DNS-Updater, MS Safety Scanner, Malware Deleter
Informationsschreiben erstellt und an alle betroffenen Kunden verschickt 
Systemüberprüfung auf Hacker & Malware - Thor Lite Scanner
Monitoring-Tool installiert und system überwacht - Sysmon
Überprüfung Active Directory - Benutzerberechtigung und - Änderung - repadmin
Server mit Virus Removal Tool prüfen und bereinigen - Sophos Removal Tool
VM mit Recovery Tool überprüft und bereinigt
E-Mail Informationsspeicher auf Bedrohung überprüft 
Passwörter im Active Directory geändert

Tägliche Überprüfung der Server auf weitere Bedrohung
Weltweite permanente Recherche - Internet, Foren, Expertengruppen, Herstellerseiten, Kollegen, News Auswertung, Fachgespräche

 

Hat jemand sonst noch eine Idee was man noch tun könnte?
Danke euch.

 

bearbeitet von magicpeter
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...