bender-1969 0 Geschrieben 11. April 2019 Melden Teilen Geschrieben 11. April 2019 Salut ZusammenWir haben mehrere Domänencontroller unter Win Srv 2016 und mehrere Kollegen, welche ein Benutzerkonto mit Domain Admin Berechtigungen haben.Wir würden gerne konfigurieren, dass der Kontoinhaber eine Mail erhält, dass sein Domain Admin Konto benutztwird.Dies für z.B. den Fall, dass die Credentials kompromittiert wurden.An sich sollte man das über SCOM machen können, aber wie schaut das bei mehreren DC's aus ?Gäbe es eine alternative Methode, um das zu erreichen ? Wäre für Tips dankbar...Gruss Bender Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 11. April 2019 Melden Teilen Geschrieben 11. April 2019 Hi, Logon Audit für die DCs aktivieren und eine E-Mail-Benachrichtung an das / die passende(n) Event(s) hängen. Gruß Jan 1 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 11. April 2019 Melden Teilen Geschrieben 11. April 2019 Moin, klingt krude ... wenn tatsächlich ein Account dieser Klasse kompromittiert wird, wird ein Angreifer als erstes solche Überwachungsmechanismen abschalten. Das spricht nicht grundsätzlich dagegen, auf Basis der Security-Logs zu überwachen, aber eine Mail scheint mir kein geeignetes Mittel zu sein. Und versprechen würde ich mir davon keinen ernsthaften Sicherheitsgewinn. Vor allem vor dem Hintergrund, dass der typische Angriff auf Konten dieser Art ohne ein Logon-Ereignis bei einem DC auskommt, weil er Cached Credentials verwendet. Von da aus geht es dann z.B. mit Silver Tickets oder Golden Tickets weiter, und von denen bekommt eine Überwachung dann gar nichts mehr mit. Bevor ich also Energie in sowas stecken würde, würde ich auf anderen Ebenen Lücken schließen. Da wird es genügend geben. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
bender-1969 0 Geschrieben 11. April 2019 Autor Melden Teilen Geschrieben 11. April 2019 Und da hast du Recht, der Chef hat sich das einfallen lassen. Das aber ist ein anderes Thema. Viele Dienste oder Lösungen haben ja mittlerweile so eine Mailbenachrichtigung, das war die Inspiration Die Frage ist eben wie man das löst ohne Login Scripte zu pflegen und das möglichst via SCOM zu machen Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 11. April 2019 Melden Teilen Geschrieben 11. April 2019 Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 15. April 2019 Melden Teilen Geschrieben 15. April 2019 Den Chef vor den DC setzen Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 15. April 2019 Melden Teilen Geschrieben 15. April 2019 Lass mich raten: Das Ansinnen kommt aus der Linux-Ecke, dort ist das üblich für SSH-Logins... Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 18. April 2019 Melden Teilen Geschrieben 18. April 2019 Für die TISAX Zertifizierung ist ein Logging von sicherheitsrelevanten Administratortätigkeiten ein MUSS-Kriterium. Ist das nicht umgesetzt ergibt das eine Hauptabweichung und das Audit ist nicht bestanden. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 18. April 2019 Melden Teilen Geschrieben 18. April 2019 Und? Das logging und eine emailbenachrichtigung sind ja wohl unterschiedliche Dinge. 1 Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 4. September 2019 Melden Teilen Geschrieben 4. September 2019 Moin, das Thema interessiert mich auch wie ist das ausgegangen? Im übrigen nützt das alles nix, wenn die Angreifer nachts um 01:30 sich Einwählen und mit deren Fisimatenten starten, während Admin und Chefs schon lange schlafen. So wars in meinem letzten Fall, und ruck zuck war der Server verschlüsselt. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 6. September 2019 Melden Teilen Geschrieben 6. September 2019 (bearbeitet) @Robdust Da hilft ein Privileged Access Management Tool (PAM) wie CyberArk oder Thycotics (IBM). Jeder privilegierte Account (egal ob im AD/ Local/ Linux) bekommt nach der Nutzung automatisiert ein neues Password verpasst. Jeder lokaler Account hat ein unterschiedliches Passwort. Und noch einige weitere Features. bearbeitet 6. September 2019 von SandyB Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 7. September 2019 Melden Teilen Geschrieben 7. September 2019 Sieht sehr interessant aus. hab auch von sowas noch nie gehört. Und ist eigentlich einfach aber genial Was Kost n sowas? Konnte keine Preise rausfinden . Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. September 2019 Melden Teilen Geschrieben 7. September 2019 https://www.heise.de/select/ix/2019/8/1915607374228700912 Preise fragt man bei den Herstellern direkt ab. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 7. September 2019 Melden Teilen Geschrieben 7. September 2019 (bearbeitet) @Rob Preise wird dir kein Hersteller einfach nennen. Wir reden über kein simples Computerspiel zum Download, sondern PAM ist ein erheblicher Eingriff in die Infrastrukur und die administrativen Prozesse deiner Firma. Wenn du Interesse an der Materie hast, schau dir als Einstieg die Studie von Forrester Wave an https://www.centrify.com/media/4908806/forrester_wave_pim_q4_2018.pdf Dann geht zu einem Systemhaus, das Erfahrung mit PAM-Solutions hat, lasst euch beraten und ein Angebot mit euren Anforderungen erstellen. Die großen Häuser wie Accenture, Avanade, NTT oder Atos haben 100% sicher erfahrene PAM-Spezialisten im Haus, Aber auch kleinere Häuser werden sich dem derzeitigen PAM-Boom nicht entziehen wollen. @Dukel Danke für den Link. bearbeitet 7. September 2019 von SandyB Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.