Die Sysinternals-Website ist für viele die erste Anlaufstelle, wenn es um tiefer gehende Informationen und systemnahe Tools in Sachen Windows geht. Für Administratoren eignen sich die Sicherheitstools der PSTools-Sammlung, aus denen wir nachfolgend einige exemplarisch vorstellen und um Tipps ergänzen.
Anmeldungen in der Domäne überwachen - LogonSessions
Mit dem Befehlszeilenprogramm LogonSessions zeigen Sie alle angemeldeten Sitzungen auf einem Computer an. Geben Sie den Befehl ohne Optionen ein, reicht unter Umständen der Puffer der Eingabeaufforderung nicht aus, da zu viele Informationen enthalten sind. Verwenden Sie in diesem Fall die Option logonsessions | more oder vergrößern Sie den Puffer der Eingabeaufforderung in deren Eigenschaften.
Alternativ lassen Sie die Ausgabe über die Option > logon.txt in eine Datei umleiten. Mit Hilfe dieses Programm erhalten Sie sehr schnell ausführliche Informationen, welche Sitzungen gerade auf dem Computer geöffnet sind. Verwenden Sie zusätzlich noch die Option -p, zeigt das Tool auch die geöffneten Prozesse der einzelnen Sitzungen und damit der angemeldeten Benutzer an. So können Sie effizient überwachen, wer auf einem Server, zum Beispiel Terminalserver, angemeldet ist und mit welchen Applikationen der Anwender arbeitet. Neben den angemeldeten Benutzern zeigt das Tool auch die Systemkonten an. Außer auf Terminalservern ist das Tool auch hervorragend in Active Directory-Umgebungen einsetzbar.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (pah)
Lokale Anmeldungen überwachen - PsLoggedOn
Wie LogonSessions dient PSLoggedOn der Überwachung von angemeldeten Benutzern. Dieses Tool ist ebenfalls Bestandteil der PSTools-Sammlung.
Geben Sie den Befehl PSLoggedOn in der Befehlszeile ein, zeigt das Tool alle angemeldeten Benutzer mit den Anmeldezeiten am lokalen System an. Hier sehen Sie auch, welche Benutzer über eine Freigabe auf den Server zugreifen. Sie können das Tool auch so aufrufen, dass Sie einen Benutzernamen angeben. In diesem Fall untersucht das Tool alle Computer in der Netzwerkumgebung und zeigt an, wo der Benutzer angemeldet ist.
Die Syntax lautet:
psloggedon [- ] [-l] [-x] [\\<Computername> | <Benutzername>].
Die Option -l zeigt nur die lokal angemeldeten Benutzer, -x zeigt keine Anmeldezeiten an. Vor allem bei der Untersuchung von unberechtigten Zugriffen im Netzwerk ist das Tool sinnvoll, um festzustellen, auf welchen Computern ein bestimmter Benutzer angemeldet ist.
Ereignisanzeigen sammeln - PSLoglist
Mit PSLoglist aus der PSTools-Sammlung können Sie über die Befehlszeile die Ereignisanzeigen verschiedener Computer einsammeln, anzeigen und vergleichen.
|
"@<Datei>" |
Führt den Befehl auf allen Computern aus, die in der Datei aufgelistet sind. Jeder Computer muss dazu in einer eigenen Spalte in der Textdatei stehen. Die entsprechenden Ereignisse der Computer werden hierüber also gesammelt. |
|
-a |
Zeigt die Einträge nach dem genannten Datums an. Als Format wird dd/mm/yy verwendet. |
|
-b |
Zeigt die Einträge vor dem genannten Datum an. |
|
-c |
Löscht die entsprechenden Ereignisanzeigen nach der Anzeige über PSLogList. Dies ist zum Beispiel bei der Abfrage über eine Batchdatei sinnvoll. |
|
-d |
Zeigt nur die Einträge der letzten n Tage an. Dabei werden die letzten Tage als <n> hinter der Option mit angegeben. |
|
-e |
Filtert Einträge mit definierten IDs aus. Die Syntax entspricht der Option -i weiter unten. |
|
-f |
Filtert Ereignisse mit bestimmten Typen aus (-f w filtert Warnungen). Es können beliebige Buchstaben verwendet werden. Es werden nur Ereignisse die mit den entsprechenden Buchstaben anfangen angezeigt. |
|
-h |
Zeigt nur Einträge der letzten n Stunden. Die Syntax entspricht der Option -d weiter oben. |
|
-i |
Zeigt nur Einträge mit den definierten IDs. Es können auch mehrere IDs kommagetrennt angezeigt werden. |
|
-l |
Speichert Einträge der definierten Ereignisanzeige. |
|
-m |
Zeigt nur Einträge der letzten n Minuten. |
|
-n |
Zeigt nur die aktuellsten definierten Einträge an. |
|
-o |
Zeigt nur die Einträge der spezifizierten Ereignisquelle (zum Beispiel \-o cdrom\). Diese Option schließt in der Ausgabe also zusätzliche Informationen ein. |
|
-p |
Gibt das Kennwort für den konfigurierten Benutzer an. Geben Sie kein Kennwort ein, fragt das Tool notfalls nach. Dabei wird das Kennwort nicht in Klartext angezeigt oder über das Netzwerk geschickt. |
|
-q |
Zeigt die Einträge der spezifizierten Ereignisquelle nicht an (zum Beispiel \-q cdrom\). Benutzerdefinierte Einträge werden so von der Ausgabe ausgeschlossen. Sollen mehrere Quellen von der Ausgabe ausgeschlossen werden, müssen diese durch Komma voneinander getrennt werden. |
|
-r |
Speichert die Einträge aufsteigend ab. |
|
-s |
Hier werden die Einträge kommabasiert angezeigt, um diese zum Beispiel in einer Excel-Tabelle oder SQL-Datenbank zu speichern. Nach der Auswertung kann zum Beispiel über den Befehl start die CSV-Datei sofort geöffnet und angezeigt werden. |
Das Programm hat darüber hinaus zahlreiche Optionen, welche beim Abfragen der Ereignisanzeigen viele verschiedene Vergleichsmöglichkeiten bieten. Wenn Sie das Tool ohne Optionen aufrufen, zeigt PSLoglist alle Einträge des lokalen System-Ereignisprotokolls an. Ein Aufruf sich demnach wie folgt zusammen setzen:
psloglist [- ] [\\<Computer>[,<Computer>[,...] | @<Datei> [-u <Benutzername>[-p <Kennwort>]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l event log file] <eventlog>
Die erwähnten Kommandozeilenprogramme gehören zu den PSTools, die zum Download bei den Windows Sysinternals parat stehen. (mje)