Woran erkennt man, ob jemand remote auf einen Windows-PC zugegriffen hat?

Ob jemand remote auf einen Windows‑PC zugegriffen hat, erkennst du am zuverlässigsten über Ereignisprotokolle, Remote‑Dienste und aktive Sitzungen. Die wichtigsten Prüfungen: 1) **Windows‑Ereignisanzeige (Security‑Log)** - Öffnen: Ereignisanzeige → **Windows-Protokolle** → **Sicherheit** - Relevante Event-IDs: - **4624** (Anmeldung erfolgreich) und **4625** (fehlgeschlagen) - Achte bei 4624 besonders auf: - **Anmeldetyp 10** = Remote Desktop (RDP) - **Anmeldetyp 3** = Netzwerk-Anmeldung (z. B. Admin-Freigaben/Remote-Tools) - **Anmeldetyp 2** = lokal (zum Abgrenzen) - Prüfe Felder wie **Account Name**, **Workstation Name** und **Source Network Address (IP)**. - **4634** (Abmeldung) / **4647** (Benutzer hat sich abgemeldet) - **4672** (Spezielle Rechte zugewiesen) – Hinweis auf Admin-Anmeldung - **4648** (Anmeldung mit expliziten Anmeldeinformationen) – oft bei „Run as“/Remote-Tools - Hinweis: Wenn „Überwachungsrichtlinien“ nicht passend gesetzt sind, können Einträge fehlen. 2) **RDP-spezifische Logs** - Ereignisanzeige → **Anwendungs- und Dienstprotokolle** → **Microsoft** → **Windows**: - **TerminalServices-RemoteConnectionManager** → *Operational* (RDP-Verbindungsaufbau) - **TerminalServices-LocalSessionManager** → *Operational* (Sitzung erstellt/getrennt) - **RemoteDesktopServices-RdpCoreTS** → *Operational* (RDP-Details/Fehler) Diese Protokolle zeigen oft klarer, *wann* eine RDP‑Sitzung gestartet/geschlossen wurde. 3) **Aktive/zuletzt aktive Sitzungen prüfen** - `query user` (zeigt angemeldete Benutzer/Sitzungen) - `qwinsta` (ähnlich, teils mehr Details) - Task-Manager → **Benutzer** (wer ist angemeldet, „Getrennt“ vs. aktiv) 4) **Remote-Funktionen und -Tools kontrollieren** - Einstellungen/Systemsteuerung: - **Remote Desktop**: ob aktiviert, und wer berechtigt ist (Gruppe „Remotedesktopbenutzer“) - **Remoteunterstützung/Quick Assist**: ob genutzt/aktiv - Installierte/aktive Remote-Software prüfen (typisch: TeamViewer, AnyDesk, Chrome Remote Desktop, VNC, Splashtop etc.) - Autostarts: Task-Manager → **Autostart** - Dienste: `services.msc` (unbekannte Remote-Dienste) - Geplante Tasks: Aufgabenplanung (`taskschd.msc`) 5) **Netzwerkspuren (Indizien, nicht allein beweisend)** - Aktive Verbindungen: `netstat -ano` - RDP-Port: eingehende Verbindungen auf **3389** (oder abweichend, falls geändert) - Windows-Firewall-Log (falls aktiviert) kann eingehende Verbindungen zeigen. 6) **Manipulation/Spurenverwischung erkennen** - Security-Log gelöscht: Event-ID **1102** („Audit log was cleared“) – starkes Warnsignal. - Unerwartete neue Benutzer/Administratoren: - `lusrmgr.msc` → Benutzer/Gruppen (oder `net user`, `net localgroup administrators`) - Ungewöhnliche Anmeldezeiten, neue IPs, neue Admin-Rechte. Wenn du nur *einen* schnellen, belastbaren Check willst: **Security‑Log nach 4624 filtern und alle Einträge mit Anmeldetyp 10 (RDP) sowie die Quell‑IP prüfen**, plus die TerminalServices‑Operational‑Logs für die passenden Zeitstempel.