Forensik
• DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net
• DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.
• Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.
• Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]
- Überwachungsrichtlinien
Achtung! Jeder DC hat ein eigenes Protokoll und muss separat überprüft werden! - Gruppenrichtlinien VORHER einrichten (per GPO Default DomainControllers Policy: Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie):
- Anmeldeereignisse = überwachen
- Kontenverwaltung = überwachen
- Verzeichnisdienstzugriff = überwachen
- Objektzugriffsversuche = überwachen
- Richtlinienänderungen = überwachen
- Systemereignisse = überwachen
Wichtige zu überwachende Events:
* ID 4625 = Anmeldefehler
* ID 4698 = erstellen einer neuen Aufgabe
* ID 4720 = neues Nutzerkonto wurde erstellt
* ID 4723 = versuchte Passwort-Änderung
* ID 4424 = versuchtes Zurücksetzen eines Kennwortes
* ID 4728 = ein Mitglied wurde zu einer Sicherheitsgruppe hinzu gefügt - Windows Protokoll "Sicherheit" Eventlog von 128MB auf min. 1GB vergrößern (per GPO: Computer/Admin.Vorlagen/Windows Komponenten/Ereignisprotokolldienst/Sicherheit: max. Protokolldateigröße)
- aktuelle Überwachungsrichtlinien anzeigen: auditpol /get /category:*
siehe auch:
- zu überwachende Ereignisse: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
- Forensik mit NTUSER.DAT https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1420