Einsatz von Kon Boot nachweisbar?

[127.0.0.1]

Hallo Hacker und Cracker.

Wir haben hier im Betrieb eien 'Spezial-User' der auf seinem Rechner Software hat, die er nicht haben dürfte. Er bestreitet, dass er die Software installiert hat und verweist auf fehlende Adminrechte. Das Adminkennwort kennt er -angeblich- auch nicht. Ganz doof ist er aber auch nicht. Den Einsatz von KonBoot traue ich ihm durchaus zu.

Jetzt meine Frage: Kann man den Einsatz von KonBoot (oder vergleichbaren Tools) nachweisen? Gibt es irgend einen Eventlog, der Manipulationen am Kernel loggt?

Edit:

OS == Windows XP SP3 32bit

[Thanks-and-Goodbye]

Bootreihenfolge festlegen, Bios mit Passwortschutz versehen.

[Daenni]

Mal im Ereignislog nachgeschaut wann sich der "Administrator" zuletzt angemeldet hat? SOllte doch, trotz Umgehen des Kennwortes, mitgeloggt werden.

[Crash2001]

Ist der Rechner denn nicht in einer Domain? Domainuser können über diesen Weg eigentlich nicht angemeldet werden afaik.

[127.0.0.1]

Nee, der hat sich natürlich als lokaler admin eingeloggt.... seine einkommenssteuer-software draufgespielt und behauptet jetzt, dass es einer von uns admins war, der das installiert hat. deshalb bringt es ja auch nichts, wenn in den logs drinnsteht, dass ein admin eingeloggt war.... es müsste schon konkret drinnstehen, dass konboot (usw.) eingesetzt wurde (bzw eindeutige spuren müssen sich nachweisen lassen)

[pfadiopa]

Gehe an seinen PC und ändere das lokale admin-passwort. Dass du das nur nach seinem Feierabend machen kannst sollte ja mal klar sein. Nagel ihm die Kiste zu, nimm ihm alle Rechte:

- BIOS-Passwort ändern(Nicht unbedingt das lokale Passwort nehmen)

- Bootreihenfolge (HDD oder Netz. Alles andere abschalten)

Dann eine Inventarisierung des PC durchführen und abspeichern.

Wenn danach noch irgendwelche Ungereimtheiten auftreten stimmt irgendwas nicht.....