napst3r 0 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Hallo liebes MCSEboard, wir hatten in unsere Firma einen Vorfall und zwar wurde ein Kennwort geändert und niemand war es und nun will der Vorstand das soetwas überwacht wird. Gibt es dazu ein Tool oder ist dies überhaupt möglich um zu sehen wer ein Benutzer angelegt oder geändert oder das Passwort geändert hat? Kann man soetwas überwachen? Wenn ja, wie heißt das Wunder Tool? Ich habe gerade Tante Google gefragt und da fand ich die "Kontenverwaltung überwachen". Die ist bei uns auch aktiv, aber wenn ich jetzt ein Kennwort von ein Benutzer zurücksetze, dann find ich in der Ereignisanzeige unter Sichterheit aber nicht die Aktion? Oder stehen solche Aktionen wo anders? Vielen Dank schon einmal. Gruß napst3r Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Wo ist diese Richtlinie bei euch aktiv? Als GPO oder lokale Richtlinie? Auf wen wird sie angewendet? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Moin, man kann da natürlich schon was machen, aber am Ende wird ein Administrator immer in der Lage sein, seine Spuren sehr weitgehend zu verwischen. Schließlich ist er Administrator und kommt damit "überall" hin. Die Überwachung von AD-Änderungen ist sehr weitgehend möglich, erfordert aber zur Auswertung viel Aufwand. Das liegt zum einen daran, dass sehr viele Events erzeugt werden (zu einer Aktion gehören oft zahlreiche Unter-Aktivitäten, die alle einzeln geloggt werden). Zum anderen muss man zur Auswertung alle DCs analysieren, weil AD ein verteiltes System ist. Möglicherweise werden die Daten bei euch schon aufgezeichnet und du hast nur nicht auf dem richtigen DC nachgesehen. Dazu kommt aber noch, dass in den meisten Unternehmen die gesammelten Daten, selbst wenn sie vollständig sind, die Frage "wer war es?" nicht aufklären können: Erfolgen Änderungen mit einem Account, der von mehreren Personen verwendet wird, dann weiß man immer noch nicht mehr. Nach der Schilderung der Situation würde ich mal vermuten, dass das bei euch auch passieren kann ... am Ende bleibt also nur: Prozesse klären und das Design anpassen. Damit wäre das zugrunde liegende Problem (Änderung hätte so nicht erfolgen sollen) vermutlich auch schon gelöst. Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 (bearbeitet) Wir benutzen die ControlBox von Balabit https://www.balabit.com/ Zum Einen kommt man damit nur mit "4 Augen, also 2 Admins" an einen kritischen Rechner wie einen DC heran. Zum Anderen werden alle Aktionen revisionssicher aufgezeichnet, so dass ein Admin auch nichts manipulieren kann. Unpersonalisierte Accounts für Admins gibts nicht! carnivore bearbeitet 8. Januar 2016 von carnivore Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Am Einfachsten sind solche Anforderungen mit 3rd Party Anbietern zu lösen. In einer wachsenden Struktur kommt man schnell an die Grenzen der Nachverfolgbarkeit mit Boardmitteln.Lösungen wie z.B. 8Man können hier helfen, sind jedoch nicht ganz billig. Der Mehrwert ist allerdings klar gegeben, da neben der Protokollierungen und des Reportings auch komplette Abläufe definiert werden können. Ansonsten ist die Definition von Abläufen und eine hohe Selbstdisziplin der wohl Einzige Weg ;). Greetings Ralf Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 auch komplette Abläufe definiert werden können. Streiche "können" setze "müssen". Ansonsten gibt's nur Grütze. Das haben die oben ja auch schon oben erwähnt. Ansonsten ist die Definition von Abläufen und eine hohe Selbstdisziplin der wohl Einzige Weg . Genau. Und dann ist 3rd Party nur noch Hilfsmittel und nicht Lösung. Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 wir hatten in unsere Firma einen Vorfall und zwar wurde ein Kennwort geändert und niemand war es Könnte es sein, dass von den Berechtigten tatsächlich niemand dieses Passwort geändert hat? Dann sollten als ersten Schritt ganz schnell alle Administratoren und privilegierten Accounts ihr PW ändern. Beim krbtgt-Konto gleich 2-mal! blub Zitieren Link zu diesem Kommentar
napst3r 0 Geschrieben 8. Januar 2016 Autor Melden Teilen Geschrieben 8. Januar 2016 Das Problem ist das wir nur ein Admin Konto haben und dieser wird von 3 Personen verwendet. Wir wollen dies nun so ändern das jeder sein eigenes Konto verwendet und das PW von Admin Konto wird geändert und wird erstmal nicht mehr verwendet. Sondern nur noch die eigenen Konto. Oder wie wird soetwas richtig gemacht? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Moin, hm, warum habe ich mir sowas gedacht? Dann seid ihr ein klassischer Fall, in dem Überwachung auf der Ebene nichts bringt. Damit sind auch die diversen Tools, die hier genannt wurden, völlig voreilig in die Runde geworfen. Wie du schon richtig erkennst, müsst ihr erst mal Prozesse einziehen und euer Design daraufhin anpassen. Dass jeder Administrator ein eigenes Admin-Konto erhält, ist da nur ein Schritt, wenn auch ein wichtiger. Alles Weitere hängt von den Anforderungen und Gegebenheiten ab. Es kann durchaus sinnvoll sein, sich da kompetent beraten zu lassen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Das Problem ist das wir nur ein Admin Konto haben und dieser wird von 3 Personen verwendet. Hä? :suspect: ... dann find ich in der Ereignisanzeige unter Sichterheit aber nicht die Aktion? Oder stehen solche Aktionen wo anders? Was hätte dir es denn gebracht, wenn es funktioniert hätte? Dann hätte im Eventlog gestanden, dass "Administrator" das Kennwort zurück gesetzt hätte. Erst denken, dann schreiben! ;) Zitieren Link zu diesem Kommentar
napst3r 0 Geschrieben 8. Januar 2016 Autor Melden Teilen Geschrieben 8. Januar 2016 Gibt es dazu eine Art Vorlage die wir verwenden können z.B. ein Beispiel Design? Weil ich kann damit jetzt erst einmal noch nichts anfangen. Das Problem bei uns ist auch das jeder die gleiche Rechte hat. Jeder macht alles. Es ist nicht einer für das Zuständig under andere für das andere. Wenn jetzt jeder ein eigenes Admin Konto hat, macht doch die Überwachung Sinn, weil dann sieht man ja wer was gemacht hat. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Und wo ist jetzt dein Problem? Im Zweifel ist ein Admin ein Admin und weiß auch, wie er seine Spuren verwischen könnte. (OK bei euch evtl. auch nicht. ) Zitieren Link zu diesem Kommentar
napst3r 0 Geschrieben 8. Januar 2016 Autor Melden Teilen Geschrieben 8. Januar 2016 Sehe ich auch so. Aber die Vorstand will das dies ab sofort Überwacht wird. Deswegen brauchen wir ein Tool. Aber als erstes werden die 3 Admin Konten erstellt und damit kann man an Benutzername schonmal erkennen wer was gemacht hat. Ich bin hier auch noch neu und so war es bis jetzt so das es nur ein Konto gibt. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Sehe ich auch so. Aber die Vorstand will das dies ab sofort Überwacht wird. Deswegen brauchen wir ein Tool. Liest du eigentlich, was man dir antwortet? Ein Tool ist nicht das, was ihr braucht, sondern ihr braucht geregelte Vorgänge für sowas. Und das geht nicht von jetzt auf gleich. und wenn die Vorstand sich das noch so sehr wünscht. Bye Norbert Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 8. Januar 2016 Melden Teilen Geschrieben 8. Januar 2016 Kauft euch eine Beratung ein. Ich empfehle es euch! Hier im Forum funktioniert das nicht in dem Umfang, in dem Ihr es braucht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.