Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: ToBe am 25.06.21 - 15:09:12

Titel: Kennt jemand den Effekt, dass Notes ein whoami aufruft?
Beitrag von: ToBe am 25.06.21 - 15:09:12: unsere Security hat herausgefunden, dass die nlnotes.exe ein whoami aufruft.
Hat jemand eine Idee, was dahinter stecken könnte?

Vielen Dank!

during the response to a potential security incident we observed following behavior of the Notes client which we want to further understand:

When starting the Notes client, the file “c:\program files (x86)\ibm\notes\nlnotes.exe” executes the following command:
- "C:\Windows\System32\cmd.exe" /c ""C:\Windows\System32\whoami.exe" /all > "C:\Users\waibest\AppData\Local\Temp\whoami.tmp""

The parameters of the parent nlnotes.exe can differ for each execution. Here some examples:
- c:\program files (x86)\ibm\notes\nlnotes.exe
Titel: Re: Kennt jemand den Effekt, dass Notes ein whoami aufruft?
Beitrag von: eknori am 25.06.21 - 15:42:21: Hmm, ich denke, dass das dazu verwendet wird, in einer multi user Installation zu ermitteln, welcher User angemeldet ist,und dann die richtigen Unterverzeichnisse anzusprechen.

Whoami.exe ermiitelt Domain und UserName des angemeldeten Users.

Bewusst aufgefallen ist mir das aber noch nicht.

Einfach einen Case bei HCL aufmachen und nachfragen

SMF 2.0.19 | SMF © 2020, Simple Machines | Bedingungen und Regeln