woznafi01
Goto Top

Audit RunAS Administrator

Hallo,

ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern.

Mein Ziel: Ich möchte gerne wissen, wann, welcher Computer, welcher User, welches Programm als RunAS Administrator/RunAS anderer Benutzer ausgeführt wurde. (als Einzige Ausgabe wäre super) --> soll am DC ersichtlich sein.

Derzeit habe ich mich beschäftigt mit dem aktivieren verschiedener Richtlinien per GPO bzw. lokal am Computer.

Die Richtlinien:

- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Prozessnachverfolgung überwachen
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Anmeldeereignisse überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Überprüfen der Anmeldeinformationen überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Kerberos-Authentifizierungsdienst überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/(Anmelden/Abmelden)/Anmelden überwachen

Vereinzelt komme ich auf ein Ergebnis, aber leider nicht als Ganzes.

Event ID: 4648 & 4688 ist nur sporadisch hilfreich.

DC Server 2008 R2
Client Windows 7

Hoffentlich kann mir diesbezüglich wer weiter helfen.

Beste Grüße,
Alex

Content-Key: 252491

Url: https://administrator.de/contentid/252491

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 20.10.2014 aktualisiert um 15:55:02 Uhr
Goto Top
Moin.

Beschreib doch mal, was "nur sporadisch" hilfreich ist. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ... zeigt ein Beispielevent und da steht für meinen Geschmack alles Wichtige drin.
Mitglied: Woznafi01
Woznafi01 20.10.2014 aktualisiert um 16:03:06 Uhr
Goto Top
Hier ein Beispiel, wo ich cmd als Administrator ausführen will:

EventID: 4648
Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WSNEU$
Kontodomäne: TEST
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: xyz
Kontodomäne: TEST
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0xb04
Prozessname: C:\Windows\System32\consent.exe

Netzwerkinformationen:
Netzwerkadresse: ::1
Port: 0

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.


Auf der Seite die du mir geschrieben hast, bin ich schon gestoßen, ebenfalls aktiviert. Habe ich in der Angabe auch drinnen.
Das Problem was ich nun habe ist, dass mir die UAC reinpfuscht und mir jedesmal das Programm "consent.exe" ins Protokoll hinein schreibt. Demnach weiß ich wieder nicht, welches Programm verwendet wurde.
Daher meine Aussage sporadisch, denn in meinen Test hatte ich schon mal in den Logs "cmd.exe" aber nur wenn die Richtlinien "Prozessnachverfolgung überwache" alleine eingestellt war.

LG,
Alex
Mitglied: DerWoWusste
DerWoWusste 20.10.2014 um 17:13:21 Uhr
Goto Top
Ok, verstehe.
Sobald etwas elevation erfordert, wird consent.exe angetriggert (das ist die exe der UAC-Abfrage) und landet im Log anstelle der eigentlichen exe.
Darf ich zwischenfragen, wozu das Ganze? Warum willst Du wissen, was mit Adminrechten gemacht wird? Weil zuverlässig ist diese Überwachung ja nicht - Admins können die Überwachungseinstellungen eh ändern, wenn sie wollen.

Zum Weiterkommen: diese Prozessnachverfolgung lässt sich also nicht in Kombination verwenden?
Mitglied: Woznafi01
Woznafi01 21.10.2014 um 09:38:43 Uhr
Goto Top
Genau, einer der Gründe warum ich nicht weiterkomme.

Ganz genau ein Admin ;). Diese Einrichtung stellt sicher dass niemand unbefugter damit hantiert. Eine reine Vorsichtsmaßnahme.

Ich hab schon so viel probiert, dass ich es eben nochmal testen musste. Bekomme ebenfalls nur "consent.exe" als ausgeführtes Programm.

Mit externen Tools wie: netwirx, ADAuditPlus oder Lepide Event Log Manager haben mir ebenfalls nicht geholfen. face-confused

Derzeit gehen mir meine Karten aus und ich weiß echt nicht mehr weiter..
Mitglied: DerWoWusste
DerWoWusste 21.10.2014 um 10:25:23 Uhr
Goto Top
Du bist nicht eingegangen auf meinen Appell, den Nutzen zu überdenken. Die Überwachung würde ja nichts bringen, sobald Du einen Admin vor Dir hast, der Sie aushebeln möchte, tut er das einfach.
Mitglied: Woznafi01
Woznafi01 21.10.2014 um 10:34:31 Uhr
Goto Top
In wie weit hilft mir dass nun um an mein Ziel zukommen?
Mitglied: DerWoWusste
DerWoWusste 21.10.2014 um 10:37:34 Uhr
Goto Top
Es hilft nicht, es soll Dir nur klar machen, dass das Ziel eh nicht erreichbar ist. Du kannst Admins nicht vollständig kontrollieren, bzw. nur soweit, wie sie es zulassen.