16568
Oct 27, 2015
1503
5
0
Benutzer-Anmeldungen (egal welcher Art) speziell nur für einen Benutzer aufzeichnen
Hallo zusammen,
sitze aktuell an einem Fall, bei dem ich nicht weiß, wie ich vorgehen soll.
Es existiert ein Netzwerk mit Domäne, Server 2k8 R2.
In diesem gibt es einen Benutzer-Account, bei dem Fremdnutzung vermutet wird.
Kennwortwechsel scheidet aus, da dies bereits erledigt wurde, und so wie es aussieht auch total sinnfrei ist, da erneut Probleme auftreten.
Daher wurde mit dem betroffenen Mitarbeiter geredet. Dieser steht außer Frage, selbst diesen Unfug anzurichten, da ihm das technische KnowHow dazu fehlt.
Jetzt wäre sehr hilfreich, NUR für dieses eine Benutzerkonto eine Anmelde-History zu erstellen.
(und ja, der MA weiß Bescheid und hat zugestimmt, ist ja auch in seinem eigenen Interesse...)
Egal über welchen Logon-Typ.
2 Interaktiv
3 Netzwerk
4 Batch
5 Service
7 Unlock
8 Netzwerk(Klartext)
9 NewCredentials
10 Remote Interactive
11 Cached Interactive
Habe ich alles schon gefunden.
Die Frage ist nur, gibt es hierzu evtl. schon fertige Scripte, Software oder hat jemand so einen ähnlichen Fall schon mal gehabt?
Danke
Lonesome Walker
sitze aktuell an einem Fall, bei dem ich nicht weiß, wie ich vorgehen soll.
Es existiert ein Netzwerk mit Domäne, Server 2k8 R2.
In diesem gibt es einen Benutzer-Account, bei dem Fremdnutzung vermutet wird.
Kennwortwechsel scheidet aus, da dies bereits erledigt wurde, und so wie es aussieht auch total sinnfrei ist, da erneut Probleme auftreten.
Daher wurde mit dem betroffenen Mitarbeiter geredet. Dieser steht außer Frage, selbst diesen Unfug anzurichten, da ihm das technische KnowHow dazu fehlt.
Jetzt wäre sehr hilfreich, NUR für dieses eine Benutzerkonto eine Anmelde-History zu erstellen.
(und ja, der MA weiß Bescheid und hat zugestimmt, ist ja auch in seinem eigenen Interesse...)
Egal über welchen Logon-Typ.
2 Interaktiv
3 Netzwerk
4 Batch
5 Service
7 Unlock
8 Netzwerk(Klartext)
9 NewCredentials
10 Remote Interactive
11 Cached Interactive
Habe ich alles schon gefunden.
Die Frage ist nur, gibt es hierzu evtl. schon fertige Scripte, Software oder hat jemand so einen ähnlichen Fall schon mal gehabt?
Danke
Lonesome Walker
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 286843
Url: https://administrator.de/contentid/286843
Printed on: April 18, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hi.
Bevor Du Dich in den Loggingwust stürzt, würde ich ein paar einfache Dinge testen:
-beschränke zunächst sein Konto auf Logon nur an der einen Workstation
-Dann schreib ein simples Skript, das ein weiteres Kennwort gleich nach Logon abfragt (Taskplaner: Trigger bei Logon dieses Nutzers) und wenn nicht korrekt oder nach 10 Sekunden nicht eingegeben, Alarm schlägt.
Ich gehe davon aus, dass das reicht. Wenn nicht, kannst Du ja die 14-Tage-Trial eines 2FA zur Hand nehmen, wie zum Beispiel Rohos und Logon nur noch mit zusätzlichem USB-Token zulassen und natürlich hier dann Logging einschalten, das wird doch übersichtlicher als das vermaledeite Windowslog.
Wenn Du das nicht willst, musst Du mit Powershell am Log rumfiltern.
Bevor Du Dich in den Loggingwust stürzt, würde ich ein paar einfache Dinge testen:
-beschränke zunächst sein Konto auf Logon nur an der einen Workstation
-Dann schreib ein simples Skript, das ein weiteres Kennwort gleich nach Logon abfragt (Taskplaner: Trigger bei Logon dieses Nutzers) und wenn nicht korrekt oder nach 10 Sekunden nicht eingegeben, Alarm schlägt.
Ich gehe davon aus, dass das reicht. Wenn nicht, kannst Du ja die 14-Tage-Trial eines 2FA zur Hand nehmen, wie zum Beispiel Rohos und Logon nur noch mit zusätzlichem USB-Token zulassen und natürlich hier dann Logging einschalten, das wird doch übersichtlicher als das vermaledeite Windowslog.
Wenn Du das nicht willst, musst Du mit Powershell am Log rumfiltern.
Moin,
ich habe mal etwas in der Trickkiste gestöbert und siehe da, natürlich bist du nicht der erste mit dieser Problemstellung :D
Ich weiß nicht ob es wirklich funktioniert, habe es nie selbst getestet, aber ich bin da sehr zuversichtlich:
http://windowsitpro.com/systems-management/configuring-user-auditing
Viel Erfolg damit!
Gruß
Chris
ich habe mal etwas in der Trickkiste gestöbert und siehe da, natürlich bist du nicht der erste mit dieser Problemstellung :D
Ich weiß nicht ob es wirklich funktioniert, habe es nie selbst getestet, aber ich bin da sehr zuversichtlich:
http://windowsitpro.com/systems-management/configuring-user-auditing
Viel Erfolg damit!
Gruß
Chris
Hi,
ansonsten einfach die Sicherheits-Ereignislog der DC's auswerten.
E.
ansonsten einfach die Sicherheits-Ereignislog der DC's auswerten.
E.
Hi dww,
Geht nicht.
Geht auch nicht, denn wir wollen ja wissen, WER und VON WO dieser Login mißbraucht wird.
Hrmpf, und ich dachte, da gibt es schon so eklige Software von Firmen, die einem das erledigen.
Lonesome Walker
Geht nicht.
Ich gehe davon aus, dass das reicht. Wenn nicht, kannst Du ja die 14-Tage-Trial eines 2FA zur Hand nehmen, wie zum Beispiel Rohos und Logon nur noch mit zusätzlichem USB-Token zulassen und natürlich hier dann Logging einschalten, das wird doch übersichtlicher als das vermaledeite Windowslog.
Geht auch nicht, denn wir wollen ja wissen, WER und VON WO dieser Login mißbraucht wird.
Wenn Du das nicht willst, musst Du mit Powershell am Log rumfiltern.
Hrmpf, und ich dachte, da gibt es schon so eklige Software von Firmen, die einem das erledigen.
Lonesome Walker
Wer das missbraucht kannst Du nicht rausfinden, außer Du begibst Dich zum Rechner oder wirfst Die Kamera an.
Wo das stattfindet, kannst Du rausfinden mit dem Abfrage-Skript, welches Du per GPO nur diesem Nutzer zuordnest.
Wo das stattfindet, kannst Du rausfinden mit dem Abfrage-Skript, welches Du per GPO nur diesem Nutzer zuordnest.
