Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Audit RunAS Administrator

Frage Microsoft Windows Server

Mitglied: Woznafi01

Woznafi01 (Level 1) - Jetzt verbinden

20.10.2014, aktualisiert 16:39 Uhr, 1493 Aufrufe, 7 Kommentare

Hallo,

ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern.

Mein Ziel: Ich möchte gerne wissen, wann, welcher Computer, welcher User, welches Programm als RunAS Administrator/RunAS anderer Benutzer ausgeführt wurde. (als Einzige Ausgabe wäre super) --> soll am DC ersichtlich sein.

Derzeit habe ich mich beschäftigt mit dem aktivieren verschiedener Richtlinien per GPO bzw. lokal am Computer.

Die Richtlinien:

- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Prozessnachverfolgung überwachen
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Anmeldeereignisse überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Überprüfen der Anmeldeinformationen überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Kerberos-Authentifizierungsdienst überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/(Anmelden/Abmelden)/Anmelden überwachen

Vereinzelt komme ich auf ein Ergebnis, aber leider nicht als Ganzes.

Event ID: 4648 & 4688 ist nur sporadisch hilfreich.

DC Server 2008 R2
Client Windows 7

Hoffentlich kann mir diesbezüglich wer weiter helfen.

Beste Grüße,
Alex
Mitglied: DerWoWusste
20.10.2014, aktualisiert um 15:55 Uhr
Moin.

Beschreib doch mal, was "nur sporadisch" hilfreich ist. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ... zeigt ein Beispielevent und da steht für meinen Geschmack alles Wichtige drin.
Bitte warten ..
Mitglied: Woznafi01
20.10.2014, aktualisiert um 16:03 Uhr
Hier ein Beispiel, wo ich cmd als Administrator ausführen will:

EventID: 4648
Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WSNEU$
Kontodomäne: TEST
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: xyz
Kontodomäne: TEST
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0xb04
Prozessname: C:\Windows\System32\consent.exe

Netzwerkinformationen:
Netzwerkadresse: ::1
Port: 0

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.

Auf der Seite die du mir geschrieben hast, bin ich schon gestoßen, ebenfalls aktiviert. Habe ich in der Angabe auch drinnen.
Das Problem was ich nun habe ist, dass mir die UAC reinpfuscht und mir jedesmal das Programm "consent.exe" ins Protokoll hinein schreibt. Demnach weiß ich wieder nicht, welches Programm verwendet wurde.
Daher meine Aussage sporadisch, denn in meinen Test hatte ich schon mal in den Logs "cmd.exe" aber nur wenn die Richtlinien "Prozessnachverfolgung überwache" alleine eingestellt war.

LG,
Alex
Bitte warten ..
Mitglied: DerWoWusste
20.10.2014 um 17:13 Uhr
Ok, verstehe.
Sobald etwas elevation erfordert, wird consent.exe angetriggert (das ist die exe der UAC-Abfrage) und landet im Log anstelle der eigentlichen exe.
Darf ich zwischenfragen, wozu das Ganze? Warum willst Du wissen, was mit Adminrechten gemacht wird? Weil zuverlässig ist diese Überwachung ja nicht - Admins können die Überwachungseinstellungen eh ändern, wenn sie wollen.

Zum Weiterkommen: diese Prozessnachverfolgung lässt sich also nicht in Kombination verwenden?
Bitte warten ..
Mitglied: Woznafi01
21.10.2014 um 09:38 Uhr
Genau, einer der Gründe warum ich nicht weiterkomme.

Ganz genau ein Admin ;). Diese Einrichtung stellt sicher dass niemand unbefugter damit hantiert. Eine reine Vorsichtsmaßnahme.

Ich hab schon so viel probiert, dass ich es eben nochmal testen musste. Bekomme ebenfalls nur "consent.exe" als ausgeführtes Programm.

Mit externen Tools wie: netwirx, ADAuditPlus oder Lepide Event Log Manager haben mir ebenfalls nicht geholfen.

Derzeit gehen mir meine Karten aus und ich weiß echt nicht mehr weiter..
Bitte warten ..
Mitglied: DerWoWusste
21.10.2014 um 10:25 Uhr
Du bist nicht eingegangen auf meinen Appell, den Nutzen zu überdenken. Die Überwachung würde ja nichts bringen, sobald Du einen Admin vor Dir hast, der Sie aushebeln möchte, tut er das einfach.
Bitte warten ..
Mitglied: Woznafi01
21.10.2014 um 10:34 Uhr
In wie weit hilft mir dass nun um an mein Ziel zukommen?
Bitte warten ..
Mitglied: DerWoWusste
21.10.2014 um 10:37 Uhr
Es hilft nicht, es soll Dir nur klar machen, dass das Ziel eh nicht erreichbar ist. Du kannst Admins nicht vollständig kontrollieren, bzw. nur soweit, wie sie es zulassen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Windows Userverwaltung
gelöst Lokalen Administrator über das Netzwerk verteilen (7)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Linux Tools
Administrator Web-Panel (2)

Frage von ClepToManix zum Thema Linux Tools ...

Humor (lol)
Interesse an einem Administrator.de-Usertreffen (136)

Frage von BirdyB zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...