Sicherer Computer

Mit Forensik PC-Einbrecher erkennen und aussperren

12.06.2015 von Thomas Joos
Mit den richtigen Tools und Bordmittelwerkzeugen können Sie feststellen, ob Nutzer unberechtigt auf Ihren PC zugreifen. Zudem können Angriffsversuche vom Computer automatisch erkannt und verhindert werden.

Haben Sie den Verdacht, dass sich unberechtigte Benutzer an Ihrem Windows-PC anmelden, können Sie mit kleinen Tools und Bordmittelwerkzeugen solche unberechtigten Zugriffe analysieren. Außerdem können Sie sich per E-Mail warnen lassen, wenn Ihr PC startet. Auch für weniger geübte Anwender ist es so möglich, mit den richtigen Werkzeugen Einbrecher am PC zu erkennen und künftig auszusperren.

PC-Forensik
Computerforensik in der Praxis
TurnedOnTimesView zeigt an, wann Ihr PC gestartet und heruntergefahren wurde.
Computerforensik in der Praxis
In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.
Computerforensik in der Praxis
Sie können Objektzugriffe von Anwendern überwachen.
Computerforensik in der Praxis
Mit der erweiterten Überwachung in Windows 8.1 können Sie Rechner umfassend überwachen.
Computerforensik in der Praxis
Über die Befehlszeile können Sie feststellen welche Programme auf dem Rechner auf das Internet zugreifen.
Computerforensik in der Praxis
Mit Digital Advanced Response Toolkit lassen Sie sich den Verlauf eines Rechners umfassend anzeigen.
Computerforensik in der Praxis
Mit Browser History Spy lassen Sie sich den Verlauf der Browser übersichtlich anzeigen.
Computerforensik in der Praxis
Dart ist eine Toolsammlung für die Forensik auf Windows-Rechnern und Netzwerken.

Startzeitpunkt des Rechners und Windows-Anmeldungen feststellen

Mit dem Tool TurnedOnTimesView können Sie über einen Doppelklick ohne Installation überprüfen, wann und warum Windows gestartet wurde. Das Tool steht kostenlos zur Verfügung und muss nicht installiert werden. Sobald Sie es gestartet haben, sehen Sie in der Spalte "Startup Time" wann Windows gestartet wurde und bei "Shutdown Time", wann der PC wieder heruntergefahren wurde.

TurnedOnTimesView zeigt an, wann Ihr PC gestartet und heruntergefahren wurde.

Über Options\Advanced Options können Sie die gleichen Informationen von PCs im Netzwerk abrufen lassen.

Zusätzlich können Sie sich das Tool WinLogonView ansehen. Dieses zeigt genau an, wann sich Anwender an Windows angemeldet haben. Sie sehen den Anmeldenamen, die Anmeldedomäne, die Anmeldezeit und auch, von welchem Rechner die Anmeldung erfolgt ist. Denn es besteht auch die Möglichkeit, eine Anmeldung über das Netzwerk/Internet an Windows durchzuführen, zum Beispiel um sich mit Freigaben auf dem Rechner, mit der Verwaltungsoberfläche oder der Konfiguration der Systemdienste zu verbinden.

Benutzer in Arbeitsgruppen überwachen

Sie haben in Windows die Möglichkeit, Benutzer zu überwachen, ohne dass die Arbeitsstationen an eine Domäne angebunden sind. Sobald Sie die Überwachung aktivieren, sehen Sie, wann sich Benutzer anmelden und auf Objekte zugreifen. Das funktioniert auch auf lokalen Rechnern. Die Daten werden in die Ereignisanzeige geschrieben und lassen sich an dieser Stelle auch auslesen. Dazu gehen Sie folgendermaßen vor:

1. Öffnen Sie über die Startseite das Fenster Lokale Sicherheitsrichtlinie (secpol.msc).

2. Navigieren Sie zu Lokale Richtlinien/Überwachungsrichtlinie. An dieser Stelle können Sie Einstellungen vornehmen.

3. Für jeden Punkt können Sie erfolgreich durchgeführte Aktionen überwachen lassen, ebenso Aktionen, die der Anwender versucht, das System aber verweigert hat.

In den lokalen Sicherheitseinstellungen können Sie auch lokale Rechner überwachen lassen.

Wichtig bei der Überwachung sind die Anmeldungen. Dazu aktivieren Sie die Richtlinie Anmeldeereignisse überwachen. Nach Aktivierung der Überwachung finden Sie die entsprechenden Informationen in der Ereignisanzeige über Windows-Protokolle/Sicherheit.

Lassen Sie Objektzugriffsversuche überwachen, besteht auch die Möglichkeit, den Zugriff auf Dateien inklusive der Änderungen nachzuverfolgen. Nachdem Sie die Überwachung aktiviert haben, müssen Sie die eigentliche Überwachung für die entsprechenden zu überwachenden Dateien und Ordner aktivieren. Dazu sind die Eigenschaften des Ordners und die Registerkarte Sicherheit wichtig.

Über die Schaltfläche Erweitert erscheint die Registerkarte Überwachung. Über Hinzufügen legen Sie die Überwachung fest. Wie bei den NTFS-Berechtigungen gilt auch hier das Prinzip der Vererbung. An dieser Stelle müssen die zu überwachenden Benutzer oder Gruppe ausgewählt werden. Nach der Aktivierung der Überwachung sind die entsprechenden Ereignisse in der Ereignisanzeige zu sehen. Die Meldung enthält Informationen, über welches Recht der Benutzer verfügt, auf welchen Ordner er zugegriffen hat und welche Aktion durchgeführt wurde.

Sie können Objektzugriffe von Anwendern überwachen.

Öffnen Sie dazu die Eigenschaften des Objekts, und wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Auf der Registerkarte Überwachung sehen Sie, welche Operationen Windows protokolliert. Über Bearbeiten legen Sie fest, welche Gruppen/Benutzer das System überwachen soll. Nachdem Sie Hinzufügen gewählt haben, können Sie über den Link Prinzipal auswählen den zu überwachenden Benutzer auswählen. Bestimmen Sie anschließend im Feld Anwenden auf aus, welche Zugriffe Windows protokollieren soll.

Die Anzeige der Protokollierung erfolgt in der Ereignisanzeige. Diese starten Sie am schnellsten durch Aufruf von eventvwr auf der Startseite. In der Ereignisanzeige finden Sie die protokollierten Zugriffsversuche im Protokoll Sicherheit unterhalb des Knotens Windows-Protokolle. Die mit einem Schlüssel gekennzeichneten Einträge stehen für erfolgreiche Zugriffe, ein Schloss steht für fehlgeschlagene Zugriffe. Genauere Informationen zu einem Eintrag erhalten Sie angezeigt, indem Sie diesen öffnen. Ein einzelner Zugriff erzeugt eine ganze Reihe von Einträgen im Sicherheitsprotokoll.

Mit der erweiterten Funktion in Windows 8.1 können Sie Rechner umfassend überwachen.

Neben den herkömmlichen Überwachungseinstellungen lassen sich mit Windows 8.1 noch weitere Maßnahmen treffen, um das eigene Netzwerk effizient zu schützen und zu überwachen. Generell ist es empfehlenswert, die klassische Überwachung und die neue Überwachung nicht parallel zu verwenden, sondern sich entweder für die Basisüberwachung oder für die erweiterte Überwachung zu entscheiden. Die erweiterte Überwachung bietet eine Untergliederung in neun Unterbereiche an. Die erweiterten Einstellungen sind über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration zu finden.

Der Vorteil der neuen Überwachungsfunktionen besteht in der spezifischeren Aufgliederung der überwachten Ereignisse.

Windows bei ungültigen Anmeldeversuchen automatisch sperren lassen

Setzen Sie Windows 8.1 Pro oder Enterprise ein, dann haben Sie die Möglichkeit, über lokale Richtlinien Sicherheitseinstellungen vorzunehmen. Eine dieser Möglichkeiten ist, festzulegen, dass sich Windows nach einer bestimmten Anzahl von ungültigen Anmeldeversuchen automatisch sperren kann. Diese Technik funktioniert aber nur, wenn Sie lokale Konten verwenden; bei Microsoft-Konten ist diese Technik nicht einsetzbar. Hier übernimmt die Sperrung aber der Online-Dienst:

1. Rufen Sie über die Startseite den Editor für lokale Gruppenrichtlinien (gpedit.msc) auf.

2. Navigieren Sie zu Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kontosperrungsrichtlinien.

3. Klicken Sie doppelt auf Kontensperrungsschwelle.

4. Geben Sie die Anzahl zulässiger Log-in-Versuche bis zur Sperrung ein.

5. Mit Kontosperrdauer legen Sie fest, wie lange das Konto gesperrt sein soll.

6. Über Zurücksetzungsdauer des Kontosperrungszählers tragen Sie die Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.

7. Auf der Registerkarte Erklärung finden Sie zu den Einstellungen eine ausführliche Hilfe.

Programme mit Internetzugriff entdecken und sperren

Viele Programme, die auf dem Computer installiert sind, bauen eine Verbindung zum Internet auf. Nicht nur Virenscanner, Internet-Browser oder Zusatz-Tools wie RSS-Feedreader arbeiten mit dem Internet: Auch ganz normale Programme überprüfen auf den Herstellerseiten, ob es neue Versionen gibt, oder übertragen im schlimmsten Fall Daten.

Über die Befehlszeile können Sie feststellen welche Programme auf dem Rechner auf das Internet zugreifen.

Auch Viren und Trojaner übertragen Daten ins Internet. Wir zeigen Ihnen mit den folgenden Schritten, wie Sie mit einfachen Mitteln solche Programme entdecken können:

1. Öffnen Sie zunächst eine Eingabeaufforderung.

2. Geben Sie in der Eingabeaufforderung den Befehl netstat -o ein. Wollen Sie die Ausgabe in eine Textdatei umleiten, geben Sie den Befehl netstat -o >C:\netstat.txt ein. Anschließend können Sie die Datei mit einem Editor bearbeiten.

3. Die Eingabeaufforderung zeigt nun alle laufenden Programme und deren aktuellen Verbindungszustand an.

4. In der Spalte Remoteadresse sehen Sie, zu welchem Server oder zu welcher Adresse im Internet das Tool eine Verbindung aufbaut.

5. Möchten Sie eine bestimmte Verbindung genauer untersuchen, merken Sie sich deren Process-ID (PID) in der letzten Zeile.

6. Rufen Sie anschließend den Task-Manager auf. Geben Sie dazu den Befehl taskmgr auf der Startseite ein, und bestätigen Sie mit der (Eingabe)-Taste.

7. Wechseln Sie zur Registerkarte Details. Hier können Sie der PID einen Prozessnamen zuordnen.

Automatisch E-Mail-Benachrichtigung beim PC-Start versenden

In Windows 8/8.1 haben Sie die Möglichkeit, automatisch eine Nachricht versenden zu lassen, sobald Ihr Computer startet und sich jemand anmeldet. Mit dem kostenlosen Tool Blat.exe können Sie E-Mails aus der Eingabeaufforderung verschicken, auch automatisiert. Für Letzteres erstellen Sie eine Batch-Datei, die das Tool nutzt und beim PC-Start automatisch startet.

Speichern Sie anschließend die Datei zum Beispiel als mailblat.bat. Als Befehl schreiben Sie in die Datei:

<Pfad zu blat.exe>\blat.exe c:\<Ordner>\pc.txt -to <E-Mail-Empfänger> -f <Ihre Absenderadresse> -u <Benutzerkonto für E-Mail-Konto> -pw <Kennwort für den Zugang> -server <SMTP-Server> -s <Betreff>

Im Anschluss erstellen Sie die Textdatei pc.txt und schreiben in diese Datei den Text der E-Mail. Wenn Sie doppelt auf die Datei mailblat.bat klicken, muss die E-Mail versendet werden und bei Ihnen ankommen. Funktioniert der E-Mail-Versand nicht, schreiben Sie am Ende des Befehls die Option -debug. Im nächsten Schritt legen Sie in Windows fest, wann das Betriebssystem die E-Mail automatisiert versenden soll, also beim Starten des PCs und beim Anmelden eines Benutzers:

1. Starten Sie zunächst die Ereignisanzeige zum Beispiel durch Eingabe von eventvwr.msc auf der Startseite.

2. Öffnen Sie Windows-Protokolle/System.

3. Suchen Sie das Ereignis Winlogon mit der ID 7001. Dieses finden Sie am schnellsten, wenn Sie mit der rechten Maustaste auf System klicken und die Ansicht nach der ID 7001 filtern lassen.

4. Klicken Sie das Ereignis mit der rechten Maustaste an und wählen im Kontextmenü den Eintrag Aufgabe an dieses Ereignis anfügen. Sie können natürlich auch jedes beliebige andere Ereignis verwenden.

5. Klicken Sie auf Weiter, bis Sie zur Seite Aktion gelangen.

6. Lassen Sie die Option Programm starten aktiviert.

7. Klicken Sie auf Durchsuchen, und wählen Sie die von Ihnen erstellte Batchdatei aus.

8. Bestätigen Sie die folgenden Fenster.

9. Im letzten Fenster aktivieren Sie die Option Beim Klicken auf "Fertig stellen" die Eigenschaften für diese Aufgabe öffnen.

10. Aktivieren Sie die Option Unabhängig von der Benutzeranmeldung ausführen.

11. Aktivieren Sie die Option Kennwort nicht speichern.

12. Wechseln Sie zur Registerkarte Bedingungen.

13. Aktivieren Sie die Option Nur starten, wenn folgende Netzwerkverbindung verfügbar ist.

14. Wählen Sie Ihr Netzwerk aus.

15. Klicken Sie auf OK. Melden Sie sich an Ihrem Rechner an, sollten Sie eine E-Mail erhalten.

Forensik mit Deft Linux

DEFT Linux ist eine Live-DVD, mit der Sie Angreifer auf dem PC erkennen und aussperren können. Nach dem Boot-Vorgang der DVD starten Sie die grafische Oberfläche mit dem Befehl deft-gui. In der grafischen Oberfläche stehen verschiedene Forensik-Tools zur Verfügung. Besonders interessant ist dabei der Autopsy Forensic Browser. Dieser kann Inhalte von Dateien und den Zeitpunkt von Änderungen in Dateien auslesen.

Ebenfalls dabei ist das Tool Maltego Community Edition. Mit dieser Software überprüfen Sie auch Daten in sozialen Netzwerken wie Facebook oder Google+. Auch andere Seiten lassen sich mit Maltego durchsuchen.

Digital Advanced Response Toolkit 2.0

Die Entwickler von Deft stellen ein weiteres Toolkit zur Verfügung, mit dem sich forensische Analysen durchführen lassen. DART steht ebenfalls auf der Seite von Deft Linux zum Download bereit. Sie können das Tool auch ohne Deft einsetzen. Nach dem Download müssen Sie das Archiv entpacken und können die grafische Oberfläche mit dart.exe, auch ohne Installation starten. Viele Antivirenprogramme melden zahlreiche Warnungen beim Start von dart.exe. Das liegt daran, dass das Tool viele Hacker-Tools enthält, es ist aber kein Virus dabei. Dennoch sollten nur geübte Anwender das Tool einsetzen.

Dart ist eine Tool-Sammlung für die Forensik auf Windows-Rechnern und Netzwerken.

Die Forensiksammlung ist in verschiedene Kategorien unterteilt. Wenn Sie sich durch die Bereiche klicken, sehen Sie links im Fenster die verschiedenen untergeordneten Tools. Für jedes gibt es eine Beschreibung, und Sie können die Tools aus der DART-Oberfläche heraus starten.

Besonders interessant in diesem Bereich ist der Menüpunkt Forensics. Im Bereich Browser können Sie den Browser auf Ihrem Rechner untersuchen und sich Verlauf, Cache, Favoriten und vieles Weitere anzeigen und auslesen lassen.

Mit Digital Advanced Response Toolkit lassen Sie sich den Verlauf eines Rechners umfassend anzeigen.

Mit dem Browser Forensic Tool, sehen Sie, wie oft die verschiedenen Browser auf Ihrem Rechner genutzt wurden. Mit Browser History Spy wird angezeigt, welche Webseiten auf dem Rechner besucht wurden. Hierüber lassen sich auch interne Webzugriffe anzeigen, zum Beispiel auf die Verwaltungsportale von Firewalls, Routern, oder anderen Geräten.

Mit Browser History Spy können Sie sich den Verlauf der Browser übersichtlich anzeigen lassen.

Sie müssen dazu nur das entsprechende Tool starten und den Rechner scannen lassen. Haben Sie den Verdacht, dass unberechtigte Anwender verschlüsselte Dateien auf dem Rechner abgelegt haben, liest DART dies ebenfalls aus. Die entsprechenden Tools dazu finden Sie im Bereich Encryption.

Im Bereich Incidend Resp können Sie über den Bereich Antivirus den Rechner auch nach Angreifern durchsuchen und diese gleich entfernen. Unterhalb von System Info finden Sie hier auch verschiedene Tools, die Informationen zu Laufwerken, den Anmeldezeiten und weiterer Daten Ihres Rechners weitergeben. (hal)