1
Domänen-Benutzer Anmelde-Überwachung
Hallo,
ich habe hier ein seltsames Problem, was mich sehr bunruhigt.
(Wer nicht den ganzen Text lesen will s.u. unten die Frage.)
Bei uns sind die Standard-Administrator-Konten der Domänen tabu. D.h. diese Konten haben lange kryptische Passwörter, welche bei der GF im Safe abgelegt sind, wo nur sehr wenige Personen rankommen, und welche man sich normalerweise nicht merken kann. Dass sich ein Dritter diese dokumentiert hat ist sehr unwahrscheinlich, da diese Passwörter nur von mir gesetzt wurden/werden.
Diese Konten werden nur im Notfall benutzt, wenn die anderen, für die tägliche Arbeit bestimmten Admin-Konten aus irgendeinem Grund "versagen".
Eines dieser Administratorkonten meldet sich täglich um die gleiche Zeit an. Der Zeitstempel "lastLogon" wird auf einem der DC dieser Domäne jedes Mal entsprechend aktualisiert. Da das nicht immer der selbe DC ist, gehe ich davon aus, dass diese Anmeldung auch nicht auf diesen DC's erfolgt, sondern dass die Anfrage über Netzwerk reinkommt.
Nun dachte ich an die üblichen Verdächtigen: Interaktives Login, Scheduled Task oder ein Dienst.
Um jetzt nicht das ganze Netz abgrasen zu müssen, dachte ich mir, überwache ich einfach die Anmeldeereignisse an den DC's. Also Überachungsrichtlinie "Anmeldeereignisse überwachen - Erfolg" per GPO festgelegt, GPupdate auf allen DC's, und prompt erscheinen im Eventlog "Sicherheit" die Events. Darauf habe ich einen Trigger gelegt für einen Scheduled Task, welcher ein Script startet und per Parameter die Anmeldedaten übergeben bekommt und diese in ein Logfile schreibt. (auf allen DC's)
Soweit so gut. Ich bekommen jetzt massig Einträge ins Log. Aber keinen für diesen Administrator.
Das Eventlog läuft nun relativ schnell über. Habe mich deshalb "auf die Lauer gelegt" und unmittelbar nach der ominösen Zeit die Log's auf allen DC's mit der MMC durchsuchen lassen. Nichts.
Nun die eigentliche Frage:
Was habe ich hinsichtlich der Überwachung vergessen/übersehen?
Welche Art Anmeldung könnte da noch in Frage kommen?
Andere Aspekte?
Ich will jetzt noch eine Überwachung für das Schreiben des Attributs "lastLogon" einbauen. Ich fürchte aber, dass das nichts bringen wird, weil ich doch stark vermute, dass dieses Attribut eh nur von den DC's selbst geschrieben wird.
Ich könnte natürlich einfach das Passwort des Kontos ändern und hoffen, dass sich jemand darüber beschwert. Dann wüsste ich, wer dieses Konto wo und wofür benutzt. Ich habe aber Grund zur Annahme, dass hier jemand "schwarz fährt" und sich nicht freiwillig outen wird.
(Sorry für "kein Name")
ich habe hier ein seltsames Problem, was mich sehr bunruhigt.
(Wer nicht den ganzen Text lesen will s.u. unten die Frage.)
Bei uns sind die Standard-Administrator-Konten der Domänen tabu. D.h. diese Konten haben lange kryptische Passwörter, welche bei der GF im Safe abgelegt sind, wo nur sehr wenige Personen rankommen, und welche man sich normalerweise nicht merken kann. Dass sich ein Dritter diese dokumentiert hat ist sehr unwahrscheinlich, da diese Passwörter nur von mir gesetzt wurden/werden.
Diese Konten werden nur im Notfall benutzt, wenn die anderen, für die tägliche Arbeit bestimmten Admin-Konten aus irgendeinem Grund "versagen".
Eines dieser Administratorkonten meldet sich täglich um die gleiche Zeit an. Der Zeitstempel "lastLogon" wird auf einem der DC dieser Domäne jedes Mal entsprechend aktualisiert. Da das nicht immer der selbe DC ist, gehe ich davon aus, dass diese Anmeldung auch nicht auf diesen DC's erfolgt, sondern dass die Anfrage über Netzwerk reinkommt.
Nun dachte ich an die üblichen Verdächtigen: Interaktives Login, Scheduled Task oder ein Dienst.
Um jetzt nicht das ganze Netz abgrasen zu müssen, dachte ich mir, überwache ich einfach die Anmeldeereignisse an den DC's. Also Überachungsrichtlinie "Anmeldeereignisse überwachen - Erfolg" per GPO festgelegt, GPupdate auf allen DC's, und prompt erscheinen im Eventlog "Sicherheit" die Events. Darauf habe ich einen Trigger gelegt für einen Scheduled Task, welcher ein Script startet und per Parameter die Anmeldedaten übergeben bekommt und diese in ein Logfile schreibt. (auf allen DC's)
Soweit so gut. Ich bekommen jetzt massig Einträge ins Log. Aber keinen für diesen Administrator.
Das Eventlog läuft nun relativ schnell über. Habe mich deshalb "auf die Lauer gelegt" und unmittelbar nach der ominösen Zeit die Log's auf allen DC's mit der MMC durchsuchen lassen. Nichts.
Nun die eigentliche Frage:
Was habe ich hinsichtlich der Überwachung vergessen/übersehen?
Welche Art Anmeldung könnte da noch in Frage kommen?
Andere Aspekte?
Ich will jetzt noch eine Überwachung für das Schreiben des Attributs "lastLogon" einbauen. Ich fürchte aber, dass das nichts bringen wird, weil ich doch stark vermute, dass dieses Attribut eh nur von den DC's selbst geschrieben wird.
Ich könnte natürlich einfach das Passwort des Kontos ändern und hoffen, dass sich jemand darüber beschwert. Dann wüsste ich, wer dieses Konto wo und wofür benutzt. Ich habe aber Grund zur Annahme, dass hier jemand "schwarz fährt" und sich nicht freiwillig outen wird.
(Sorry für "kein Name")
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328568
Url: https://administrator.de/contentid/328568
Printed on: April 19, 2024 at 11:04 o'clock
1 Comment
Hi,
welches OS haben die DC? Funktionsebenen?
E.
welches OS haben die DC? Funktionsebenen?
E.
