Programme über nacht gelöscht ?

[azweik]

Hallo, bitte mich nicht wegen Mangel an Wissen schlachten.

Und bitte keine Belehrungen über Passwörter etc., derjenige den ich in Verdacht habe ist quasi für die Sicherheit vom Netzwerk zuständig

Heute morgen haben diverse Dateien auf dem PC gefehlt z.B. .exe Dateien etc.

Ich habe mir die Kamera aufnahmen angeschaut

Um ca. 23:30 hat der im Ruhemodus befindliche PC auf einmal angefangen zu arbeiten, und ca. 15 Minuten später hat sich der Bildschirm angeschaltet und war dann ca. 20 minuten aktiv. ( kann os etwas überhaupt vorkommen aus anderen Gründen als z.B. einem Remotezugriff ?)

Ich sehe im Eventlog viele Aktivitätetn um diese Zeit, und das Eventlog für "weitergeleitete Ereignisse" ist deaktiviert ( ist es normal, dass dieses Eventlog default "deaktiviert "ist ?)

Gibt es irgendeine andere Erklärung dafür , dass der PC sich mitten in der nacht in einer leeren Werkstatt für ca. 1 Stunde aus dem Ruhemodus heraus anfängt zu arbeiten, und der Bildschirm angeht ?

 

[prian]

Entweder ist der PC aufgewacht oder er wurde geweckt.
In einer AD-Domäne ist das einfach möglich und kann i.d.R. auch am Client-PC nicht unterbunden werden.
Ich habe bei einem von mir betreuten Unternehmen immer Sonntags die PC geweckt und einen Virenscan durchgeführt, das war ein geplanter Job.

Was bei Dir zum Aufwachen des PCs führt kann ich nicht sagen.
Ist der "nur" im Netz oder Teil einer Domäne?
Werden Gruppenrichtlinen genutzt?

 

[CoMo]

Ja, Weitergeleitete Ereignisse ist im Normalfall leer.

Ich sehe im Eventlog viele Aktivitätetn um diese Zeit

Was für Aktivitäten? Bitte mal genau auflisten. Da sollte auch der Grund für das "Aufwachen" drin stehen.

Ist RDP-Zugriff aktiviert oder eine andere Remote-Software installiert?

Im Zweifel mal ein FRST-Log anfertigen.

 

[Slayn]

Ruhemodus befindliche PC auf einmal angefangen zu arbeiten,

Dann muss der Rechner aber darauf eingestellt sein, das er auf Remote Paket oder ähnliches aus dem Netzwerk aufwecken lässt.

 

[chr1zZo]

Hallo, bitte mich nicht wegen Mangel an Wissen schlachten.

Und bitte keine Belehrungen über Passwörter etc., derjenige den ich in Verdacht habe ist quasi für die Sicherheit vom Netzwerk zuständig

Heute morgen haben diverse Dateien auf dem PC gefehlt z.B. .exe Dateien etc.

Ich habe mir die Kamera aufnahmen angeschaut

Um ca. 23:30 hat der im Ruhemodus befindliche PC auf einmal angefangen zu arbeiten, und ca. 15 Minuten später hat sich der Bildschirm angeschaltet und war dann ca. 20 minuten aktiv. ( kann os etwas überhaupt vorkommen aus anderen Gründen als z.B. einem Remotezugriff ?)

Ich sehe im Eventlog viele Aktivitätetn um diese Zeit, und das Eventlog für "weitergeleitete Ereignisse" ist deaktiviert ( ist es normal, dass dieses Eventlog default "deaktiviert "ist ?)

Gibt es irgendeine andere Erklärung dafür , dass der PC sich mitten in der nacht in einer leeren Werkstatt für ca. 1 Stunde aus dem Ruhemodus heraus anfängt zu arbeiten, und der Bildschirm angeht ?

Du überwachst doch nicht etwa den Arbeitsplatz unzulässig oder? DSGVO is Calling!

Ereignisanzeige nützt da wenig, was du brauchst ist Logging und Protokollierung, was meistens das Windows nicht so toll beherrscht und über Zusatzsoftware abgebildet werden muss.

Clean Desk Policy, schon mal gehört? Wieso einen PC (Arbeitsplätze) über Nacht in diesen kack Sparmodus setzen? In Firmen gehören die PCs sauber heruntergefahren außerhalb der Arbeitszeiten.

 

[CoMo]

was du brauchst ist Logging und Protokollierung, was meistens das Windows nicht so toll beherrscht und über Zusatzsoftware abgebildet werden muss.

Windows bringt umfangreiche Auditing-Fähigkeiten mit. Muss nur konfiguriert werden.

 

[chr1zZo]

FInde ich aufwändig von MS, oder eben über Azure AD, dann ist es easy! Deswegen lieber sauberen Protokollierungsserver, der Autark ist Kommt aber auf die Größe des Unternehmens an, um Sinn und Zweck abzuwägen ja.

 

[kartoffelpü]

das Eventlog für "weitergeleitete Ereignisse" ist deaktiviert ( ist es normal, dass dieses Eventlog default "deaktiviert "ist ?

Ja.

Eventuell hat Windows den PC selber aufgeweckt, um Updates zu installieren. Ich weiß auswendig aber gerade nicht, ob das standardmäßig aktiviert ist.

Falls Updates installiert wurde, sollten die z.B. im "Setup" Log auftauchen:

 

[McFritte]

Um ca. 23:30 hat der im Ruhemodus befindliche PC auf einmal angefangen zu arbeiten, und ca. 15 Minuten später hat sich der Bildschirm angeschaltet und war dann ca. 20 minuten aktiv. ( kann os etwas überhaupt vorkommen aus anderen Gründen als z.B. einem Remotezugriff ?)

Ich installiere Updates schon seit Ewigkeiten nur manuell. Aber kann Windows nicht einen Timer im Bios setzten, wenn Updates zwar heruntergeladen aber noch nicht installiert wurden, und den PC dann selbständig aus dem Ruhemodus außerhalb der üblichen Arbeitszeit aufwecken?

 

[Sebbi]

Heute morgen haben diverse Dateien auf dem PC gefehlt z.B. .exe Dateien etc.

ggf neue Gruppenrichtlinien, die das untersagen oder der Virenscanner mit neuen Signaturen?

Außerdem was waren den das für Dateien und Programme?

, derjenige den ich in Verdacht habe ist quasi für die Sicherheit vom Netzwerk zuständig

und frage dich mal hierbet: WAS würde es IHM bringen, wenn er den PC so leerräumt?
Wenn es ihm nichts bringt, warum sollte er es dann machen?

 

[chr1zZo]

vielleicht ein externen, der sich denkt, ich ärger Nachts meine Kunden, das die mich morgen Anrufen und sagen "Da ist was passiert, kommen Sie bitte vorbei", so bekommt man seinen Tag auch ausgefüllt als Selbstständiger Dienstleister Mit Angst lässt sich super Geld verdienen.

Wenn es jemand aus der Internen IT ist, gibt auch genug Idioten die Leute ärgern oder Schaden anrichten bevor diese das Unternehmen verlassen.

 

[JohnStorm]

Guck doch Mal in das Protokoll vom Virenscanner. Fehlende exe Dateien klingt sehr danach.

 

[00Julius]

@azweik Bist du der Inhaber der Werkstatt?
Ansonsten den Chef fragen, welchen Auftrag die von dir genannte „für die Sicherheit des Netzwerks zuständige Person“ hat.

 

[azweik]

Es waren Dateien vom CAM system, und einige Mitarbeiter sind angepisst, dass wir das CAM zu Mastercam geändert haben, und nicht mehr mit dem alten arbeiten welches sie gewohnt sind, weil Sie es jetzt neu lernen müssen.
Und zufälligerweise fehlen jetzt alle neuen Programme etc.

Und die Maschinen stehen still, nach dem Motto lass und wieder mit dem alten Program arbeiten, ich habe aber keine Lust mehr 3 CAM systeme parralel am laufen zu halten. ( und einige der Posts waren ein ziemliches Gewrickel die zum laufen zu bekommen)


Der PC wurde ausgeschaltet am Ende der Schicht.

 

[chr1zZo]

Dann musst du WakeOnLan im BIOS deaktivieren! Und das BIOS sperren mit PW! Ich hoffe die normalen Mitarbeiter haben nur einen "Standard Account" und nutzen da nicht nen Admin Account an der Maschine?

 

[azweik]

gerade gemacht

 

[chrigu]

dann würde ich sofort zur polizei und anzeigen, wenn mitarbeiter die daten mutwillig löschen.

ja, es gibt auch remote-tools, die man von aussen steuern kann (muss vorher installiert sein) und mit einen "wake-on-lan" den pc starten, zugreifen und den pc bedienen.
ihr habt sicher ein internetrouter, der die externen zugriffe protokoliert, hoffe ich mal. damit kannst du sehen, wer mit welcher id eingeloggt und welche ip benutzt wurde. die polizei kann damit den täter eruieren.

es gibt auch enterprise windows (AD), die um xy meistens morgens, dem pc updates verpasst, damit tagsüber gearbeitet werden kann.

 

[Sebbi]

Es waren Dateien vom CAM system, und einige Mitarbeiter sind angepisst, dass wir das CAM zu Mastercam geändert haben, und nicht mehr mit dem alten arbeiten welches sie gewohnt sind, weil Sie es jetzt neu lernen müssen.
Und zufälligerweise fehlen jetzt alle neuen Programme etc.

ab dem Zeitpunkt wäre es eine Straftat, hier muss eine Anzeige erfolgen wegen Computermanipulation, Sapotage und Netzwerkeinbruch / Manipulation.
Der Mitarbeiter sollte dementsprechende umgehend freigestellt werden bis zum Abschluss der Ermitlungen