Jump to content

Nachverfolgung von Absendern (physisch)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebes Forum,

 

ich habe die Befürchtung, dass sich jemand hin und wieder in meinen AD-User Account einloggt, auf dem Terminalserver

Outlook startet und von meinem Namen aus vom Exchange 2016/2019 on-Premises (weiß nicht genau)

Mails verschickt. Kann man irgendwie nachhalten, ob sich jemand am Exchange Server in meinem 

Namen anmeldet durch MAC-Adressen oder ähnliches?

 

Wie kann man nach verfolgen, wer sich wann einloggt? 

 

Danke im Voraus!

 

 

Link zu diesem Kommentar
vor 1 Stunde schrieb NilsK:

Das Kennwort ändern?

Das würde das Problem zwar heilen, beantwortet die ursprüngliche Frage aber nicht.

 

Daher, der Vollständigkeit halber (ich schreibe überall "Du", es sollte aber klar sein, dass der jeweilige Administrator gemeint ist - wenn "Du" nur End-User in der Umgebung bist, bist Du hier machtlos):

  • Mailversand kannst Du in den Message Tracking Logs des Exchange verfolgen
  • Anmeldung kannst Du (nachdem Auditing aktiviert wurde) in den Security Logs des DC verfolgen, damit weißt Du Zeitpunkt und IP-Adresse des Terminalservers. Wenn da stattdessen die Adresse des Exchange Servers als Quelle steht, wurde nicht eine Anmeldung am Terminalserver, sondern OWA, EWS oder ActiveSync verwendet.
  • Wenn tatsächlich fest steht, dass Diejenige sich mit Deinem Account am Terminalserver angemeldet hat, kannst Du im TerminalServer-Log herausfinden, von welcher IP-Adresse die Verbindung kam.
  • Wenn Du Pech hast, steht da der RemoteDesktop-Gateway, dann war die Verbindung vielleicht extern, und die Logs des RDG liefern Dir eine dynamische Adresse bei Vodafone. Mit dieser kannst Du dann zur Polizei gehen.

Also: Lieber einfach das Kennwort ändern. Und nicht vergessen, den Post-It-Zettel auf der Unterseite der Tastatur zu aktualisieren!

Link zu diesem Kommentar
vor 15 Minuten schrieb Benni_Frank:

Mit anderen Worten: Wenn sich der Exchange Admin oder Server Admin in meinen Account einloggt, (über den DC oder direkt am Exchange Server) in meinem Namen Mails verschickt, kann ich es kaum nachhalten? 

Wenn der Admin nicht vertrauenswürdig ist, hat die Organisation eh verloren.

Wenn Du einen berechtigten Verdacht hast, muss die Geschäftsführung sich darum kümmern.

Link zu diesem Kommentar

Moin,

 

um es noch mal ganz ausdrücklich zu sagen: in dein Konto einloggen kann sich nur, wer dein Kennwort kennt. Das träfe auf einen Admin genauso zu wie auf jeden anderen Menschen der Welt. Ein Admin könnte zwar dein Kennwort ändern und sich dann an den Account anmelden - das würdest du aber merken, weil du dich dann ja selbst nicht mehr anmelden kannst.

 

Wenn jemand aber dein Kennwort kennt und sich damit an deinen Account anmeldet, dann wird es auch schwierig nachzuweisen, wer das war. Aus Sicht von Windows ist das ja eine ganz normale Anmeldung. Man kann dann zusätzliche Informationen sammeln, aber Aufwand und Nutzen stehen kaum in einem sinnvollen Verhältnis. Und es ändert ja nichts: Wenn du den Verdacht hast, dann änder dein Kennwort. Dann hört das im selben Moment auf.

 

Wo du deinen Verdacht herhast und was du damit machst, musst du selbst wissen.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hi,

 

für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen.

 

Das wichtigste wäre aber wohl einmal die Frage weiter oben von @Dukel zu klären: "Woher glaubst du dass jemand in deinem Namen eMail verschickt?" Vielleicht ist es ja "nur" Spam bzw. eine der Nachwirkungen von Hafnium und Co.

 

Gruß

Jan

Link zu diesem Kommentar

Moin,

 

vor 16 Stunden schrieb testperson:

für den Admin könnte es auch nicht unmöglich sein an das Kennwort zu kommen.

natürlich nicht, aber genau wie jede andere Person müsste der Admin dafür Hacking-Methoden einsetzen. Einfach so in einen anderen Account einloggen kann man sich in Windows auch als Admin nicht - das ist in diesem Fall schon wichtig zu wissen.

 

Genau wie ihr vermute ich auch, dass die Situation eine andere ist als befürchtet. Aber das ist auch nur Spekulation.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...