Windows 7 - Scherzkeks fährt PC remote herunter
Frage
-
Hallo,
ich habe anscheinend einen Scherzkeks im Unternehmen der einige Workstations remote herunterfährt.
Jedenfalls werden 3-4 Workstations (Win7 x64) am Tag im laufendem Betrieb ohne erkennbaren Grund heruntergefahren.
Im Ereignisprotokoll (SYSTEM) habe ich zu dem Zeitpunkt des Herunterfahrens diese beiden Einträge:
explorere.exe | winlogon.exe
Das geschwärzte im Bild ist lediglich der Computername des Computers der heruntergefahren worden ist, bzw. der Benutzername des Users der zu dem Zeitpunkt noch angemeldet war.
Da ein Remoteshutdown mittels "shutdown.exe /m \\computername" grundsätzlich möglich ist, denke ich das hier ein Mitarbeiter sich einen Scherz erlaubt. Die große Frage die ich mir aber nun stelle, habe ich als Admin irgend eine Möglichkeit herauszufinden WER das war? Habe nun schon eine Stunde nach einer Lösung gesucht, aber alles was ich finde beschäftigt sich mit "erweiteres Audit-Logging aktivieren" um zukünftig auf sowas zu reagieren. (möglicherweise und auch nicht besonders zuverlässig diese Aussage)
Gibt es denn sonst keine andere Möglichkeit herauszufinden von welcher IP der Remoteshutdown initiiert wurde?
Bin für jegliche Tipps dankbar!
Gruß
Cotec-Z
- Bearbeitet Cotec-Z Freitag, 30. Juni 2017 16:32
Antworten
-
Moin,
der User, der im Event steht, ist derjenige, der den Shutdown ausgelöst hat. Wenn es derselbe ist, der angemeldet war, dann war's vermutlich lokal. Denn im Event zum Remote-Shutdown steht auch die IP drin, die ihn ausgelöst hat:
Das wäre dann entweder gewollt, oder Malware, oder irgendein Programm, das unbeabsichtigt einen Shutdown auslöst. Softwareverteilungs- oder Monitoring-Agenten sind eher unwahrscheinlich, da sie meistens im Systemkontext agieren, aber ausgeschlossen ist es auch nicht.
EDIT: Und Explorer.exe ist ja die User-Shell... Curiouser and curiouser...
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Bearbeitet Evgenij Smirnov Freitag, 30. Juni 2017 17:22
- Als Antwort markiert Yavor TanevMicrosoft contingent staff Freitag, 7. Juli 2017 12:31
Alle Antworten
-
Moin,
der User, der im Event steht, ist derjenige, der den Shutdown ausgelöst hat. Wenn es derselbe ist, der angemeldet war, dann war's vermutlich lokal. Denn im Event zum Remote-Shutdown steht auch die IP drin, die ihn ausgelöst hat:
Das wäre dann entweder gewollt, oder Malware, oder irgendein Programm, das unbeabsichtigt einen Shutdown auslöst. Softwareverteilungs- oder Monitoring-Agenten sind eher unwahrscheinlich, da sie meistens im Systemkontext agieren, aber ausgeschlossen ist es auch nicht.
EDIT: Und Explorer.exe ist ja die User-Shell... Curiouser and curiouser...
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Bearbeitet Evgenij Smirnov Freitag, 30. Juni 2017 17:22
- Als Antwort markiert Yavor TanevMicrosoft contingent staff Freitag, 7. Juli 2017 12:31
