Hallo,

kann mir jemand, bald möglichst zu o. g. Programm, mit seinen Auswirkungen, Auskunft geben. Mein Betriebssystem ist Windows 2000 und ich bin mit meinem AP-PC in einem Firmen-Netzwerk und einem Proxy-Server zum Internet vernetzt.

Ich bin etwas besorgt, da ich in meiner Ereignisanzeige im Anwendungsprotokoll auf folgende Information aufmerksam geworden bin.
Bei einem Ereignis Stand in Rubrik Computer nicht meine PC-Nr. wie üblich, sondern eine andere PC-Nr., als Quellangabe war MBSA angegeben. In der Beschreibung des Ereignises wird erklärt das die Beschreibung der Ereigniskennung in (MBSA)nicht gefunden wurde. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Ereignisinformationen: Sicherheitsanalyse abgeschlossen.
Nun folgte noch die IP-Nr. von dem überprüft wurde und die Version von dem MBSA-Programm.
Was heißt das nun? Bin ich von dem anderen Pc (Admin??) überprüft, gescannt worden?
Was für Scannungen und Abfragen können über diesem MBSA-Programm vorgenommen werden; z. B. über Festplattenstruktur, Ordner, Dateien, Passwörter; Internetaktivitäten wie Internet-Adressen, E-Mails ect.?

Wie kann ich mich zukünftig, auch ohne Admin-Rechte, gegen diese Überprüfungen schützen.
Durch welche Netzabfragen kann ich über die angegebene PC-Nr. und der IP-Nr. des PC´s der die Überprüfung durchführte, an die Identität des Abfragers gelangen. Bitte im Detail!

Ich wäre sehr dankbar, wenn mir jemand baldmöglichst, mit einfachen Worten, obige Fragen beantworten könnte.

Schönen Gruß
      Zeus

Hallo cdk,

erst einmal Danke für deine Antwort.

Wenn ich jemandem im Netzwerk per IP-Nr. anpinge erhalte ich die zugehörige Pc-Nr. und umgekehrt. Aber keine Namen. Ich kann aber auch über die Ereignisanzeige andere PC´s im Netzwerk per PC-Nr. dessen Ereignisanzeige anzeigen lassen.

Nun meine Frage, werden diese Pings und die Abfragen  über die Ereignisanzeige für den anderen User erkennbar?

Herzlichen Dank im voraus.

Gruß
Zeus

bei der ereignisanzeige hängt das ganz von der konfiguration ab. jedoch finde ich es bereits merkwürdig, dass man dir einräumt dieses protokoll auch für andere pcs einsehen zu können. vielleicht hast du glück und es wird nicht geloggt. vielleicht aber auch nicht ...

Zwischen PC und User gibt's normalerweise keine feste Zuordnung. Das kommt immer drauf an wer sich wo anmeldet.

Prinzipiell geht das über den FINGER Dienst. Der ist aber standardmäßig nicht aktiv bei Windows, vermutlich kommt bei Dir was ähnlichzes raus:

Z:\>finger -l @fordprefect

[fordprefect.disasterarea.de]
> Finger: Verbunden::Verbindung abgelehnt

Z:\>finger

Zeigt Informationen über einen Benutzer auf dem angegebenen System an, das den
Fingerdienst ausführt. Die Ausgabe hängt vom Remotesystem ab.

FINGER [-l] [Benutzer]@Host [...]

  -l	   Zeigt Informationen im langen Listenformat an.
  Benutzer   Gibt den Benutzer an, über den Sie Informationen abrufen
		 möchten. Ohne Angabe dieses Parameters erhalten Sie
		 Informationen über alle Benutzer auf dem angegebenen Host.
  @Host	Gibt den Server in dem Remotesystem an, über dessen Benutzer
		 Sie Informationen abrufen möchten.

 

Ansonsten läßt sich die aktuelle Zuordnung durchaus mit entsprechenden Administrationstools jederzeit überprüfen. Ohne solche Tools dürfte das schwierig werden.

Vielleicht kommst Du über Eure Konfigurationslücke an diese Info - die entfernte Ereignisanzeige. An-/Abmeldungen werden da im Sicherheitsprotokoll vermerkt. ABer auch nur wenn das explizit so konfiguriert ist.

Quote:

das kann man unmöglich sagen. es könnte zB der rechner sein, von dem man das ereignisprotokoll anfragt oder irgendein server. vielleicht wird es aber auch garnicht kontrolliert.
am pragmatischsten wäre es jedoch einfach die admins zu fragen. oder führst du irgendeinen krieg gegen deinen arbeitgeber?