{"id":31289,"date":"2019-10-31T21:40:29","date_gmt":"2019-10-31T18:40:29","guid":{"rendered":"https:\/\/prohoster.info\/blog\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows\/"},"modified":"2019-10-31T21:40:29","modified_gmt":"2019-10-31T18:40:29","slug":"chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows","title":{"rendered":"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p>Die Benutzer-Workstation ist der anf\u00e4lligste Punkt der Infrastruktur in Bezug auf Informationssicherheit. Benutzer k\u00f6nnen E-Mails erhalten, die scheinbar aus sicheren Quellen stammen, jedoch Links zu infizierten Websites enthalten. M\u00f6glicherweise l\u00e4dt jemand eine n\u00fctzliche Software aus unbekannter Quelle herunter. Man k\u00f6nnte zahlreiche Szenarien entwerfen, wie schadhafte Software \u00fcber Benutzer in Unternehmensressourcen eindringen kann. Daher erfordern Workstations besondere Aufmerksamkeit. In diesem Artikel werden wir erl\u00e4utern, welche Ereignisse zur \u00dcberwachung von Angriffen relevant sind und woher man sie bezieht.<\/p>\n<p><img decoding=\"async\" alt=\"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?\" src=\"\/wp-content\/uploads\/2019\/04\/6e0eddfc90ae158b3d532a6b7a069177.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<p>Um Angriffe in der fr\u00fchesten Phase zu erkennen, gibt es in Windows drei n\u00fctzliche Ereignisquellen: das Sicherheitsereignisprotokoll, das Systemprotokoll und die PowerShell-Protokolle.<\/p>\n<h2>Sicherheitsereignisprotokoll (Security Log)<\/h2>\n<p>\nDies ist der zentrale Speicherort f\u00fcr Sicherheitsprotokolle. Hier werden Ereignisse zu Benutzeranmeldungen\/-abmeldungen, Objektzugriff, \u00c4nderung von Richtlinien und anderen sicherheitsrelevanten Aktivit\u00e4ten aufgezeichnet. Selbstverst\u00e4ndlich, vorausgesetzt, die entsprechende Richtlinie ist konfiguriert.<\/p>\n<p><img decoding=\"async\" alt=\"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?\" src=\"\/wp-content\/uploads\/2019\/04\/82e59ad17a09a8211dc6fe9737208fd7.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<b>Durchsuchung von Benutzern und Gruppen (Ereignisse 4798 und 4799).<\/b> Schadhafter Code durchsucht zu Beginn eines Angriffs oft lokale Benutzerkonten und Gruppen auf dem Arbeitsplatz, um Anmeldeinformationen f\u00fcr seine dunklen Machenschaften zu finden. Diese Ereignisse helfen, sch\u00e4dlichen Code fr\u00fcher zu erkennen, bevor er weiter vordringt und sich mittels der gesammelten Daten auf andere Systeme ausbreitet.<\/p>\n<p><b>Erstellung eines lokalen Benutzerkontos und \u00c4nderungen in lokalen Gruppen (Ereignisse 4720, 4722\u20134726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 und 5377).<\/b> Ein Angriff kann beispielsweise auch mit der Hinzuf\u00fcgung eines neuen Benutzers zur Gruppe der lokalen Administratoren beginnen.<\/p>\n<p><b>Versuche der Anmeldung mit einem lokalen Benutzerkonto (Ereignis 4624).<\/b> Ordnungsgem\u00e4\u00dfe Nutzer melden sich mit einem Dom\u00e4nenkonto an, und eine Anmeldung mit einem lokalen Konto k\u00f6nnte den Beginn eines Angriffs signalisieren. Ereignis 4624 umfasst auch Anmeldungen mit einem Dom\u00e4nenkonto, daher sollten bei der Verarbeitung von Ereignissen solche Ereignisse herausgefiltert werden, bei denen die Dom\u00e4ne von dem Namen der Arbeitsstation abweicht.<\/p>\n<p><b>Anmeldeversuch mit dem angegebenen Konto (Ereignis 4648).<\/b> Das tritt auf, wenn ein Prozess im Modus \u201eAusf\u00fchren als\u201c arbeitet. Im Normalbetrieb der Systeme sollte dies nicht der Fall sein, daher sollten solche Ereignisse \u00fcberwacht werden.<\/p>\n<p><b>Sperren\/Entsperren einer Arbeitsstation (Ereignisse 4800-4803).<\/b> Zu den verd\u00e4chtigen Ereignissen geh\u00f6ren alle Aktivit\u00e4ten, die auf einer gesperrten Arbeitsstation stattgefunden haben.<\/p>\n<p><b>\u00c4nderungen der Firewall-Konfiguration (Ereignisse 4944-4958).<\/b> Offensichtlich k\u00f6nnen sich bei der Installation neuer Software die Einstellungen der Firewall-Konfiguration \u00e4ndern, was zu Fehlalarmen f\u00fchren kann. In den meisten F\u00e4llen ist es nicht notwendig, solche \u00c4nderungen zu \u00fcberwachen, aber dar\u00fcber informiert zu sein, schadet sicherlich nicht.<\/p>\n<p><b>Anschlie\u00dfen von Plug\u2019n\u2019Play-Ger\u00e4ten (Ereignis 6416 und nur f\u00fcr Windows 10).<\/b> Es ist wichtig darauf zu achten, wenn Benutzer normalerweise keine neuen Ger\u00e4te an die Arbeitsstation anschlie\u00dfen und pl\u00f6tzlich eines anschlie\u00dfen.<\/p>\n<p>Windows umfasst 9 Kategorien der \u00dcberwachung und 50 Unterkategorien zur Feinabstimmung. Das minimale Set von Unterkategorien, das in den Einstellungen aktiviert werden sollte, umfasst:<\/p>\n<p><b>Anmeldung\/Ausmeldung<\/b><\/p>\n<ul>\n<li>Anmeldung;<\/li>\n<li>Abmeldung;<\/li>\n<li>Konto sperren;<\/li>\n<li>Andere Anmelde-\/Abmeldeereignisse.<\/li>\n<\/ul>\n<p>\n<b>Kontoverwaltung<\/b><\/p>\n<ul>\n<li>Benutzerkontoverwaltung;<\/li>\n<li>Verwaltung von Sicherheitsgruppen.<\/li>\n<\/ul>\n<p>\n<b>Richtlinien\u00e4nderung<\/b><\/p>\n<ul>\n<li>\u00c4nderung der Pr\u00fcfrichtlinie;<\/li>\n<li>\u00c4nderung der Authentifizierungsrichtlinie;<\/li>\n<li>\u00c4nderung der Genehmigungsrichtlinie.<\/li>\n<\/ul>\n<p><\/p>\n<h2>Systemmonitor (Sysmon)<\/h2>\n<p>\nSysmon ist ein in Windows integriertes Tool, das in der Lage ist, Ereignisse im Systemprotokoll aufzuzeichnen. H\u00e4ufig muss es separat installiert werden.<\/p>\n<p><img decoding=\"async\" alt=\"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?\" src=\"\/wp-content\/uploads\/2019\/04\/0b1e14fb9ba4d63a4d9d94bd9d62d112.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDiese Ereignisse k\u00f6nnen grunds\u00e4tzlich auch im Sicherheitsprotokoll gefunden werden (wenn die entsprechende Pr\u00fcfpolitik aktiviert ist), aber Sysmon liefert mehr Details. Welche Ereignisse k\u00f6nnen aus Sysmon abgerufen werden?<\/p>\n<p><b>Prozesserstellung (Ereignis-ID 1).<\/b> Das Sicherheitsereignisprotokoll kann auch anzeigen, wann eine *.exe gestartet wurde, und sogar ihren Namen und den Startpfad zeigen. Im Gegensatz zu Sysmon kann es jedoch den Hash der Anwendung nicht anzeigen. Schadsoftware kann als harmloses notepad.exe aufgef\u00fchrt werden, aber genau der Hash wird sie entlarven.<\/p>\n<p><b>Netzwerkverbindungen (Ereignis-ID 3).<\/b> Es gibt offensichtlich viele Netzwerkverbindungen, und es ist schwierig, den \u00dcberblick zu behalten. Wichtig zu beachten ist, dass Sysmon im Gegensatz zum Security Log die Netzwerkverbindung mit den Feldern ProcessID und ProcessGUID verkn\u00fcpfen kann, zeigt den Port und <a class=\"wpil_keyword_link\" href=\"https:\/\/prohoster.info\/de\/lir\/ipv4\/\"   title=\"IP-Adressen\" data-wpil-keyword-link=\"linked\"  data-wpil-monitor-id=\"622\">IP-Adressen<\/a> den Sender und Empf\u00e4nger.<\/p>\n<p><b>\u00c4nderungen in der Windows-Registry (Ereignis-ID 12-14).<\/b> Der einfachste Weg, sich selbst beim Autostart hinzuzuf\u00fcgen, besteht darin, sich in der Registry einzutragen. Das Security Log kann das, aber Sysmon zeigt, wer die \u00c4nderungen vorgenommen hat, wann, von wo, die Process ID und den vorherigen Wert des Schl\u00fcssels.<\/p>\n<p><b>Dateierstellung (Ereignis-ID 11).<\/b> Sysmon zeigt im Gegensatz zum Security Log nicht nur den Speicherort der Datei, sondern auch ihren Namen an. Es ist klar, dass man nicht alles im Blick behalten kann, aber man kann bestimmte Verzeichnisse auditen.<\/p>\n<p>Und jetzt das, was in den Richtlinien des Security Logs nicht vorhanden ist, aber in Sysmon vorhanden ist:<\/p>\n<p><b>\u00c4nderung des Erstellungszeitpunkts einer Datei (Ereignis-ID 2).<\/b> Einige Malware kann das Erstellungsdatum einer Datei \u00e4ndern, um sie aus den Berichten \u00fcber neu erstellte Dateien zu verbergen.<\/p>\n<p><b>Laden von Treibern und DLLs (Ereignis-ID 6-7).<\/b> \u00dcberwachung des Ladens von DLL und Ger\u00e4tetreibern in den Arbeitsspeicher, \u00dcberpr\u00fcfung der digitalen Signatur und deren G\u00fcltigkeit.<\/p>\n<p><b>Erstellung eines Threads in einem laufenden Prozess (Ereignis-ID 8).<\/b> Eine der Angriffsmethoden, die ebenfalls im Auge behalten werden sollte.<\/p>\n<p><b>Ereignisse RawAccessRead (Ereignis-ID 9).<\/b> Lesevorg\u00e4nge von der Festplatte mithilfe von \u201e.\u201d. In den meisten F\u00e4llen sollte eine solche Aktivit\u00e4t als abnormal angesehen werden.<\/p>\n<p><b>Erstellung eines benannten Dateistreams (Ereignis-ID 15).<\/b> Das Ereignis wird registriert, wenn ein benannter Dateistream erstellt wird, der Ereignisse mit einem Hash des Dateiinhalts erzeugt.<\/p>\n<p><b>Erstellung einer named pipe und Verbindungen (Ereignis-ID 17-18).<\/b> \u00dcberwachung von Malware, die \u00fcber named pipes mit anderen Komponenten kommuniziert.<\/p>\n<p><b>Aktivit\u00e4ten \u00fcber WMI (Ereignis-ID 19).<\/b> Registrierung von Ereignissen, die beim Zugriff auf das System \u00fcber das WMI-Protokoll generiert werden.<\/p>\n<p>Zum Schutz von Sysmon sollten die Ereignisse mit ID 4 (Beendigung und Start von Sysmon) und ID 16 (\u00c4nderung der Sysmon-Konfiguration) \u00fcberwacht werden.<\/p>\n<h2>PowerShell-Protokolle<\/h2>\n<p>\nPowerShell ist ein leistungsstarkes Tool zur Verwaltung von Windows-Infrastrukturen, daher ist die Wahrscheinlichkeit hoch, dass ein Angreifer es w\u00e4hlt. Um Informationen \u00fcber PowerShell-Ereignisse zu erhalten, k\u00f6nnen zwei Quellen verwendet werden: das Windows PowerShell-Protokoll und das Microsoft-WindowsPowerShell \/ Operational-Protokoll.<\/p>\n<h4>Windows PowerShell-Protokoll<\/h4>\n<p>\n<img decoding=\"async\" alt=\"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?\" src=\"\/wp-content\/uploads\/2019\/04\/03d830871fc2c47ceeb8f0822f3f20e0.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<b>Datenanbieter wurde geladen (Ereignis-ID 600).<\/b> PowerShell-Anbieter sind Programme, die als Datenquelle f\u00fcr PowerShell dienen, um sie zu durchsuchen und zu verwalten. Eingebaute Anbieter k\u00f6nnen beispielsweise Windows-Umgebungsvariablen oder das Systemregister sein. Es ist wichtig, auf das Erscheinen neuer Anbieter zu achten, um b\u00f6swillige Aktivit\u00e4ten rechtzeitig zu erkennen. Zum Beispiel, wenn Sie sehen, dass WSMan unter den Anbietern erscheint, bedeutet dies, dass eine Remote-PowerShell-Sitzung gestartet wurde.<\/p>\n<h4>Microsoft-WindowsPowerShell \/ Betriebsprotokoll (oder MicrosoftWindows-PowerShellCore \/ Betriebsprotokoll in PowerShell 6)<\/h4>\n<p>\n<img decoding=\"async\" alt=\"Welche n\u00fctzlichen Informationen lassen sich aus den Protokollen von Windows-Workstations ziehen?\" src=\"\/wp-content\/uploads\/2019\/04\/d0a1a74aad59c7c4f64446b52846429f.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<b>Modulprotokollierung (Ereignis-ID 4103).<\/b> In den Ereignissen wird jede ausgef\u00fchrte Befehlszeile und die Parameter, mit denen sie aufgerufen wurde, aufgezeichnet.<\/p>\n<p><b>Skriptblockprotokollierung (Ereignis-ID 4104).<\/b> Die Protokollierung von Skriptblockaden zeigt jeden ausgef\u00fchrten PowerShell-Codeblock an. Selbst wenn ein Angreifer versucht, den Befehl zu verbergen, wird diese Art von Ereignis den tats\u00e4chlich ausgef\u00fchrten PowerShell-Befehl anzeigen. Zudem k\u00f6nnen in diesem Ereignistyp einige niedrigstufige API-Aufrufe protokolliert werden, die normalerweise als Verbose aufgezeichnet werden. Wird jedoch ein verd\u00e4chtiger Befehl oder ein Skript in einem Codeblock verwendet, wird er mit der Schwere Warnung protokolliert.<\/p>\n<p>Bitte beachten Sie, dass nach der Einrichtung des Tools zur Sammlung und Analyse dieser Ereignisse zus\u00e4tzliche Zeit f\u00fcr das Debugging erforderlich ist, um die Anzahl der Fehlalarme zu reduzieren.<\/p>\n<p>Teilen Sie uns in den Kommentaren mit, welche Protokolle Sie zur Auditierung der Informationssicherheit sammeln und welche Tools Sie daf\u00fcr verwenden. Eine unserer Richtungen sind L\u00f6sungen zur Auditierung von Sicherheitsereignissen. F\u00fcr die Herausforderung der Sammlung und Analyse von Protokollen k\u00f6nnen wir Ihnen empfehlen, sich f\u00fcr <noindex><a rel=\"nofollow\" href=\"https:\/\/www.quest.com\/products\/intrust\/\">Quest InTrust<\/a><\/noindex>zu interessieren, das gespeicherte Daten mit einem Verh\u00e4ltnis von 20:1 komprimieren kann und dessen eine installierte Instanz bis zu 60.000 Ereignisse pro Sekunde aus 10.000 Quellen verarbeiten kann.<br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/galssoftware\/blog\/447522\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0447\u0430\u044f \u0441\u0442\u0430\u043d\u0446\u0438\u044f \u2014 \u0441\u0430\u043c\u043e\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043f\u043e \u0447\u0430\u0441\u0442\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0439\u0442\u0438 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0443\u044e \u043f\u043e\u0447\u0442\u0443 \u043f\u0438\u0441\u044c\u043c\u043e \u0432\u0440\u043e\u0434\u0435 \u0431\u044b \u0438\u0437 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0433\u043e \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430, \u043d\u043e \u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0451\u043d\u043d\u044b\u0439 \u0441\u0430\u0439\u0442. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043a\u0442\u043e-\u0442\u043e \u0441\u043a\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u0438\u0437 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u043a\u0430\u043a\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u0430. \u0414\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043d\u0435 \u043e\u0434\u0438\u043d \u0434\u0435\u0441\u044f\u0442\u043e\u043a \u043a\u0435\u0439\u0441\u043e\u0432, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c\u0441\u044f [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":23255,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-31289","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0447\u0430\u044f \u0441\u0442\u0430\u043d\u0446\u0438\u044f \u2014 \u0441\u0430\u043c\u043e\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043f\u043e \u0447\u0430\u0441\u0442\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0439\u0442\u0438 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0443\u044e \u043f\u043e\u0447\u0442\u0443 \u043f\u0438\u0441\u044c\u043c\u043e \u0432\u0440\u043e\u0434\u0435 \u0431\u044b \u0438\u0437 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0433\u043e \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430, \u043d\u043e \u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0451\u043d\u043d\u044b\u0439 \u0441\u0430\u0439\u0442. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043a\u0442\u043e-\u0442\u043e \u0441\u043a\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u0438\u0437 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u043a\u0430\u043a\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u0430. \u0414\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043d\u0435 \u043e\u0434\u0438\u043d \u0434\u0435\u0441\u044f\u0442\u043e\u043a \u043a\u0435\u0439\u0441\u043e\u0432, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c\u0441\u044f\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u0427\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0442\u0430\u0449\u0438\u0442\u044c \u0438\u0437 \u043b\u043e\u0433\u043e\u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u043d\u0430 \u0431\u0430\u0437\u0435 \u041e\u0421 Windows | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0447\u0430\u044f \u0441\u0442\u0430\u043d\u0446\u0438\u044f \u2014 \u0441\u0430\u043c\u043e\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043f\u043e \u0447\u0430\u0441\u0442\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0439\u0442\u0438 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0443\u044e \u043f\u043e\u0447\u0442\u0443 \u043f\u0438\u0441\u044c\u043c\u043e \u0432\u0440\u043e\u0434\u0435 \u0431\u044b \u0438\u0437 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0433\u043e \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430, \u043d\u043e \u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0451\u043d\u043d\u044b\u0439 \u0441\u0430\u0439\u0442. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043a\u0442\u043e-\u0442\u043e \u0441\u043a\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u0438\u0437 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u043a\u0430\u043a\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u0430. \u0414\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043d\u0435 \u043e\u0434\u0438\u043d \u0434\u0435\u0441\u044f\u0442\u043e\u043a \u043a\u0435\u0439\u0441\u043e\u0432, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c\u0441\u044f\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:40:29+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:40:29+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Was k\u00f6nnen die Protokolle einer Windows-basierten Arbeitsstation f\u00fcr n\u00fctzliche Informationen liefern | ProHoster","description":"Arbeitsstationen sind der verletzlichste Teil der Infrastruktur in Bezug auf Informationssicherheit. Nutzer k\u00f6nnten eine E-Mail auf ihrer Arbeitsadresse erhalten, die vermeintlich aus einer sicheren Quelle stammt, jedoch auf eine infizierte Website verweist. Es besteht die M\u00f6glichkeit, dass jemand ein n\u00fctzliches Programm aus einer unbekannten Quelle herunterl\u00e4dt. Zahlreiche Szenarien k\u00f6nnten beschrieben werden, wie sch\u00e4dliche Software \u00fcber die Nutzer eindringen kann.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u0427\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0442\u0430\u0449\u0438\u0442\u044c \u0438\u0437 \u043b\u043e\u0433\u043e\u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u043d\u0430 \u0431\u0430\u0437\u0435 \u041e\u0421 Windows | ProHoster","og:description":"\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0447\u0430\u044f \u0441\u0442\u0430\u043d\u0446\u0438\u044f \u2014 \u0441\u0430\u043c\u043e\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043f\u043e \u0447\u0430\u0441\u0442\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0439\u0442\u0438 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0443\u044e \u043f\u043e\u0447\u0442\u0443 \u043f\u0438\u0441\u044c\u043c\u043e \u0432\u0440\u043e\u0434\u0435 \u0431\u044b \u0438\u0437 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0433\u043e \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430, \u043d\u043e \u0441\u043e \u0441\u0441\u044b\u043b\u043a\u043e\u0439 \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0451\u043d\u043d\u044b\u0439 \u0441\u0430\u0439\u0442. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043a\u0442\u043e-\u0442\u043e \u0441\u043a\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u0438\u0437 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u043a\u0430\u043a\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u0430. \u0414\u0430 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0434\u0443\u043c\u0430\u0442\u044c \u043d\u0435 \u043e\u0434\u0438\u043d \u0434\u0435\u0441\u044f\u0442\u043e\u043a \u043a\u0435\u0439\u0441\u043e\u0432, \u043a\u0430\u043a \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c\u0441\u044f","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/chto-poleznogo-mozhno-vytashhit-iz-logov-rabochej-stantsii-na-baze-os-windows","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:40:29+00:00","article:modified_time":"2019-10-31T18:40:29+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"31289","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-02-08 20:25:31","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 03:19:49","updated":"2026-02-08 20:25:31"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=31289"}],"version-history":[{"count":1,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31289\/revisions"}],"predecessor-version":[{"id":157813,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31289\/revisions\/157813"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/23255"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=31289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=31289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=31289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}