Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Sicherheit Windows-Protokoll

M

MaxMuc

Herzlich willkommen
Liebes Board,

ich würde mich freuen, wenn Ihr Euch kurz einem Problem bzgl. des Windows-Protokolls widmet:

Mir ist das Thema Sicherheit ziemlich wichtig. Im Windows-Protokoll habe ich gestern Nacht um 4 Uhr einige Einträge gefunden, die ich nicht deuten kann. "Winlogon 7001" und 10 Minuten später "Winlogon 7002". Dazwischen gab es Dinge wie "Distributed com" und "service control".

Sind das Updates von Windows oder des Systems? Und kann dieses ohne Benutzeranmeldung einfach so auf das ausgeschaltete Notebook zugreifen?

Vielen Dank für Euren Support! Max
 
Anzeige
Hallo @MaxMuc! Willkommen im Forum! :)
Ich nehme an, du meinst Ereignisanzeige/ Windows-Protokolle/Anwendung
Markiere so ein Ereignis und kopiere im unteren Fensterteil den Beschreibungstext. Diesen kannst du hier in deine nächste Antwort in einen Spoiler kopieren.
Ereignisanzeige_Fehler.jpg

Bei mehreren Ereignissen kommt man meist besser, wenn man das gesamte Log kopiert.
Ereignisanzeige_Zweig_Kopieren.jpg
Der Dateityp, der dabei gespeichert wird, kann nicht hochgeladen werden. Deshalb muss die Datei als RAR- oder ZIP-Archiv hoch geladen werden.
 
Moin Ari,

danke für Dein herzliches Willkommen. Ich bin leider kein Fachmann und meine Frage mag Euch Fachleuten obsolet oder banal vorkommen. Ich versuche mal, es weiter zu spezifizieren. Besonders wundert mich der letzte Abschnitt. Das sieht für mich als Laie so aus, als hätte ich (also der Benutzer) sich an- und abgemeldet. Als erster Eintrag wird angezeigt:

Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt. Ereignis ID: 4798; Aufgabenkategorie: Benutzerkontenverwaltung
Kontodomäne: Workgroup; SicherheitsID: W7P

Danach kommt 10 Sekunden später: Ereignis ID: 4624; Aufgabenkategorie: Anmelden; Anmeldetyp 5; Virtuelles Konto: Nein

Danach: "Einer neuen Anmeldung wurden Rechte zugewiesen": Ereignis ID: 4672; Aufgabenkategorie: Spezielle Anmeldung; Sicherheits ID: System

Dann: Ereignis-ID: 4797
Aufgabenkategorie:Benutzerkontenverwaltung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Beschreibung:
Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto zu prüfen.

Betreff:
Sicherheits-ID: W7P-PC\W7P
Kontoname: W7P
Kontodomäne: W7P-PC

Zusätzliche Informationen:
Arbeitsstation des Aufrufers: W7P-PC
Name des Zielkontos: Administrator
Domäne des Zielkontos: W7P-PC

Dann: Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 05.07.2017 04:38:01
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: W7P-PC
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: W7P-PC$
Kontodomäne: WORKGROUP

Anmeldeinformationen:
Anmeldetyp: 2
Eingeschränkter Administratormodus: -
Virtuelles Konto: Ja
Token mit erhöhten Rechten: Nein

Identitätswechselebene: Identitätswechsel
Neue Anmeldung: Kontodomäne: Window Manager

Und am Ende kommt eine Abmeldung des WindowsManager und dann dieser Eintrag:

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 05.07.2017 04:38:04
Ereignis-ID: 4647
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: W7P-PC
Beschreibung:
Benutzerinitiierte Abmeldung:

Antragsteller:
Sicherheits-ID: W7P-PC\W7P
Kontoname: W7P
Kontodomäne: W7P-PC

Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden.
 
Zuletzt bearbeitet von einem Moderator:
Willkommen bei DrWindows @ MaxMuc
Bitte stelle längere Texte in Spoiler.
Dann: Ereignis-ID: 4797
Aufgabenkategorie:Benutzerkontenverwaltung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Beschreibung:
Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto zu prüfen.

Betreff:
Sicherheits-ID: W7P-PC\W7P
Kontoname: W7P
Kontodomäne: W7P-PC
Klicke dazu unten Erweitert, dann den Text markieren, und die Maske anklicken. Danke
Spoiler.png
 
Sytem-Protokoll:
Protokollname: System
Quelle: Microsoft-Windows-Winlogon
Datum: 05.07.2017 04:29:47
Ereignis-ID: 7001
Aufgabenkategorie:(1101)
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: W7P-PC
Beschreibung:
Benutzeranmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit

Protokollname: System
Quelle: Service Control Manager
Datum: 05.07.2017 04:31:32
Ereignis-ID: 7040
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: W7P-PC
Beschreibung:
Der Starttyp des Diensts "Intelligenter Hintergrundübertragungsdienst" wurde von Manuell starten in Automatisch

Protokollname: System
Quelle: Microsoft-Windows-Winlogon
Datum: 05.07.2017 04:38:04
Ereignis-ID: 7002
Aufgabenkategorie:(1102)
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: W7P-PC
Beschreibung:
Benutzerabmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit
 
Zuletzt bearbeitet von einem Moderator:
Genau so. Du kannst übrigens deinen Beitrag #4 oben auch nachträglich bearbeiten.
 
Danke Franky-----bisher bin ich schon zufrieden, wenn ich meine Sky-Box unfallfrei hochfahren kann....

Im Ernst: Mich würde brennend interessieren, ob es sich bei den genannten Vorgängen um "normale" Updates handelt oder jemand sich angemeldet hat / Zugriff auf Passwörter hat. Mit meinem (beschränkten) IT-Verständnis kann ein System doch kein Update starten, wenn das Notebook ausgeschaltet ist......

Danke für Eure Hilfe!
 
Man kann also nicht sehen, wer sich wann auf einem PC / Notebook eingeloggt hat? Ob das jemand mit einem Passwort gemacht hat oder das System auf Dinge zugegriffen hat?
 
Hallo Max,
Wenn das Notebook im ausgeschalteten Zustand Logs schreibt, das wäre in der Tat erstaunlich!

Sonst siehst du, dass der Account "Local System", den jedes Windows System lokal besitzt, zwei Dienste gestartet und gestoppt hat. Hier, um Daten mit MS auszutauschen.
Das Event ist auch nur eine Information, keine Warnung oder Fehler.

"Local System" ist genau dafür gemacht, damit das Betriebssystem notwendige Funktionen selbstständig ausführen kann. Diese Dienste müssen und sollen ja nicht permanent laufen.
Öffne mal Services.msc in der commandline und sortiere das Fenster dann nach der rechten Spalte. Dort siehst du die verschiedenen Service Accounts (Local Service, Network Service, Local System), die übrigens alle kein Passwort haben.

Also, alles im grünen Bereich! Oder besser, aus diesen Events lässt sich nichts Auffälliges ableiten!

lg sneaker
 
Ich möchte noch mal auf die ursprüngliche Frage eingehen:
Winlogon ID 7001 = User Logon Notification for Customer Experience Improvement Program
deutsch: Benutzeranmeldung für das Programm zur Verbesserung der Benutzerfreundlichkeit

Winlogon ID 7002 = User Logoff Notification for Customer Experience Improvement Program
deutsch: Benutzerabmeldung für das Programm zur Verbesserung der Benutzerfreundlichkeit

Also erst wird dein Benutzername am CEIP angemeldet und dann wieder abgemeldet, wahrscheinlich weil CEIP seine Arbeit erledigt hat.
Die Events dazwischen haben mit dem Winlogon-Event nichts zu tun.
 
Danke Euch allen, das hat sehr geholfen! Eine Frage noch: Die untem angeführten Infos klingen so, als hätte sich ein Benutzer angemeldet, oder? Klingt für mich IT-Tiefflieger nicht nach "Systemupdate" etc. Wozu stünde da sonst "Benutzeranmeldebenachrichtigung"? Könnt Ihr dazu einen kurzen Input geben, dann bin ich zufrieden und lasse Euch die Zeit, damit Ihr Euch den wichtigen Themen widmen könnt :ROFLMAO:

Protokollname: System
Quelle: Microsoft-Windows-Winlogon
Datum: 05.07.2017 04:29:47
Ereignis-ID: 7001
Aufgabenkategorie:(1101)
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: W7P-PC
Beschreibung: Benutzeranmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit
 
Ja, das war der spezial Account bzw. Benutzer: "SYSTEM"
Der kann sich aber nirgendwo anders anmelden bzw. von nirgendwo anders anmelden, als auf deiner Maschine. SYSTEM = Local SYSTEM
 
Danke Aribert - genau DAS hatte mich interessiert und zu meinem letzten Post verleitet :) Zwar habe ich keine Ahnung, was CEIP bedeutet, aber für mich klingt das nach "ICH" habe mich als Nutzer angemeldet (7001) und abgemeldet (7002).

Und genau das ist die große Frage: Wenn ICH zu der Zeit nicht am Notebook war, wer war dann mit meinem Passwort unterwegs?
 
@ MaxMuc
So kurze Beiträge darfst du ohne Spoiler einstellen. Das ist nur empfehlbar bei längeren Beiträgen wie vorher.
 
@MaxMuc, wenn du meine Antwort in #14 aufmerksam liest, kommst du allein dahinter, was CEIP ist.
CEIP = Customer Experience Improvement Program
Also das Programm zur Verbesserung der Benutzerfreundlichkeit. Es sammelt anonym Informationen über die Nutzung von Windows und übermittelt diese an Microsoft. Auf der Basis dieser Daten kann MS die Benutzung von Windows ständig verbessern.
Natürlich kann man ablehnen, am CEIP teil zu nehmen.

Nachtrag:
Wenn ICH zu der Zeit nicht am Notebook war, wer war dann mit meinem Passwort unterwegs?
Zum Vergrößern anklicken....
Wenn du in deiner Abwesenheit den Rechner nicht ausschaltest, ist ja dein Benutzer angemeldet. Also brauch gar kein Fremder dein Passwort benutzen.
Und das Verarbeiten und Senden der Daten erfolgt ohnehin, wenn der Rechner nichts zu tun hat.
 
Zuletzt bearbeitet:
Ich muss etwas widersprechen (nach all den jahren☺️)

Es handelt sich hier um Windows LogOn (7001) und LogOff (7002) Ereignisse.
Im EreignisProtocol steht zwar System, aber in den Details steht eine ID und anhand dieser kann mN eindeutig den zugehörigen Windows-User (Domäne\Username) ermitteln.

Es war garantiert jemand an deinem (ich denke nun mtlw ehemaligen) Notebook!

VG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben