Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Audit RunAS Administrator

Frage Microsoft Windows Server

Mitglied: Woznafi01

Woznafi01 (Level 1) - Jetzt verbinden

20.10.2014, aktualisiert 16:39 Uhr, 1694 Aufrufe, 7 Kommentare

Hallo,

ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern.

Mein Ziel: Ich möchte gerne wissen, wann, welcher Computer, welcher User, welches Programm als RunAS Administrator/RunAS anderer Benutzer ausgeführt wurde. (als Einzige Ausgabe wäre super) --> soll am DC ersichtlich sein.

Derzeit habe ich mich beschäftigt mit dem aktivieren verschiedener Richtlinien per GPO bzw. lokal am Computer.

Die Richtlinien:

- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Prozessnachverfolgung überwachen
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Anmeldeereignisse überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Überprüfen der Anmeldeinformationen überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Kerberos-Authentifizierungsdienst überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/(Anmelden/Abmelden)/Anmelden überwachen

Vereinzelt komme ich auf ein Ergebnis, aber leider nicht als Ganzes.

Event ID: 4648 & 4688 ist nur sporadisch hilfreich.

DC Server 2008 R2
Client Windows 7

Hoffentlich kann mir diesbezüglich wer weiter helfen.

Beste Grüße,
Alex
Mitglied: DerWoWusste
20.10.2014, aktualisiert um 15:55 Uhr
Moin.

Beschreib doch mal, was "nur sporadisch" hilfreich ist. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ... zeigt ein Beispielevent und da steht für meinen Geschmack alles Wichtige drin.
Bitte warten ..
Mitglied: Woznafi01
20.10.2014, aktualisiert um 16:03 Uhr
Hier ein Beispiel, wo ich cmd als Administrator ausführen will:

EventID: 4648
Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WSNEU$
Kontodomäne: TEST
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: xyz
Kontodomäne: TEST
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: localhost
Weitere Informationen: localhost

Prozessinformationen:
Prozess-ID: 0xb04
Prozessname: C:\Windows\System32\consent.exe

Netzwerkinformationen:
Netzwerkadresse: ::1
Port: 0

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.

Auf der Seite die du mir geschrieben hast, bin ich schon gestoßen, ebenfalls aktiviert. Habe ich in der Angabe auch drinnen.
Das Problem was ich nun habe ist, dass mir die UAC reinpfuscht und mir jedesmal das Programm "consent.exe" ins Protokoll hinein schreibt. Demnach weiß ich wieder nicht, welches Programm verwendet wurde.
Daher meine Aussage sporadisch, denn in meinen Test hatte ich schon mal in den Logs "cmd.exe" aber nur wenn die Richtlinien "Prozessnachverfolgung überwache" alleine eingestellt war.

LG,
Alex
Bitte warten ..
Mitglied: DerWoWusste
20.10.2014 um 17:13 Uhr
Ok, verstehe.
Sobald etwas elevation erfordert, wird consent.exe angetriggert (das ist die exe der UAC-Abfrage) und landet im Log anstelle der eigentlichen exe.
Darf ich zwischenfragen, wozu das Ganze? Warum willst Du wissen, was mit Adminrechten gemacht wird? Weil zuverlässig ist diese Überwachung ja nicht - Admins können die Überwachungseinstellungen eh ändern, wenn sie wollen.

Zum Weiterkommen: diese Prozessnachverfolgung lässt sich also nicht in Kombination verwenden?
Bitte warten ..
Mitglied: Woznafi01
21.10.2014 um 09:38 Uhr
Genau, einer der Gründe warum ich nicht weiterkomme.

Ganz genau ein Admin ;). Diese Einrichtung stellt sicher dass niemand unbefugter damit hantiert. Eine reine Vorsichtsmaßnahme.

Ich hab schon so viel probiert, dass ich es eben nochmal testen musste. Bekomme ebenfalls nur "consent.exe" als ausgeführtes Programm.

Mit externen Tools wie: netwirx, ADAuditPlus oder Lepide Event Log Manager haben mir ebenfalls nicht geholfen.

Derzeit gehen mir meine Karten aus und ich weiß echt nicht mehr weiter..
Bitte warten ..
Mitglied: DerWoWusste
21.10.2014 um 10:25 Uhr
Du bist nicht eingegangen auf meinen Appell, den Nutzen zu überdenken. Die Überwachung würde ja nichts bringen, sobald Du einen Admin vor Dir hast, der Sie aushebeln möchte, tut er das einfach.
Bitte warten ..
Mitglied: Woznafi01
21.10.2014 um 10:34 Uhr
In wie weit hilft mir dass nun um an mein Ziel zukommen?
Bitte warten ..
Mitglied: DerWoWusste
21.10.2014 um 10:37 Uhr
Es hilft nicht, es soll Dir nur klar machen, dass das Ziel eh nicht erreichbar ist. Du kannst Admins nicht vollständig kontrollieren, bzw. nur soweit, wie sie es zulassen.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Vorbote für Microsoft-Lizenz-Audit?
gelöst Frage von departure69Microsoft34 Kommentare

Hallo. Uns (öffentlicher Dienst, kleine Gemeinde) ist gestern dieses Schreiben von Microsoft in den Briefkasten geflattert: Ich fragte mich ...

Windows Server
Kleines Sicherheits Audit
Frage von bytetixWindows Server6 Kommentare

Hallo liebe IT Profis, ich meine mich erinnern zu können das ich mal ein Skript/Tool hatte wo ich einen ...

Microsoft
Microsoft Audit - Lizenzangaben
gelöst Frage von vBurakMicrosoft1 Kommentar

Hallo, unseren Kunden hat es auch erwischt, dass er aufgefordert wird, seine Lizenzen anzugeben ;). Der Kunde hat über ...

Lizenzierung
Microsoft Lizenz Audits
gelöst Frage von freshman2017Lizenzierung2 Kommentare

Moin moin, wer von euch hat Erfahrung mit Audits von Microsoft Windows? Welche Verträge werden in der Regel überprüft? ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 5 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 18 StundenMac OS X3 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 1 TagDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell25 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1019 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...