Jump to content

In der Ereignisanzeige/Sicherheit einen Logineintrag erzwingen?

kaineanung

Von kaineanung
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kaineanung Experienced

kaineanung   14

Geschrieben
Geschrieben

Hallo Leute,

 

ich frage mich gerade ob es möglich ist einen Eintrag in der DC-Ereignisanzeige (Sicherheit) einen Login-Eintrag mit angemeldetem User zu erzwingen?

Unsere Firewall benutzt diese LOG-Datei um zu ermittelt welcher Benutzer sich zuletzt an welche IP-Adresse angemeldet hat damit die Benutzer von der FW identifiziert werden können.

Wir benutzen noch ein LOGON-BAT welche gegen Ende noch ein RunAs benutzt um als Administrator diverese Operationen auszuführen.

Dies verfälscht natürlich das LOG und da würde ich gerne noch irgendwas dahinter setzen welches den letzten LOG-Eintrag wieder auf den aktuell angemeldeten User setzt.

 

Wenn ich manuell im Windows-Explorer auf den Fileserver zugreife (auf eine berechtigte Freigabe -> also ohne Anmeldeinformationen eingeben zu müssen) wird ein Eintrag in der LOG hinzugefügt mit dem angemeldeten USer.

Was könnte ich in der LOGON-BAT machen damit ich diesen gleichen Effekt bekomme?

Ich könnte wahrscheinlich Laufwerksmapping machen auf eine Freigabe die für alle Mitarbeiter zugänglich ist. Aber gibt es auch einfachere Wege oder ein Befehl oder irgendwas welches das Gleiche auslöst?

 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben

@Dukel

 

LOGON-BAT wird in 6-8 Wochen abgeschafft. Arbeiten hier noch mit einem alten W2K3-Server als DC.

Habe schon fast alles in GPO transferiert und werde es dann nur noch auf die DC ausrollen. LOGON-BAT Ciaos....

 

Aber bis dahin brauche ich den letzten Sicherheits-LOG-Eintrag des angemeldeten Users und nicht des Administrators.

Und da ich in der LOGON-BAT auch SPC-Dateien (verschlüsseltes 'runas') als Administrator ausführe, wird dieser als letzter Benutzer in die LOG-Datei eingetragen.

 

Meine Idee war: ich mache lediglich ein Pseudo-Zugriff auf eine Freigabe in der LOGIN-Datei am Ende mit einem Zeitverzug von 2 Sekunden.

Also einfach

\\server-blabla\Freigabename$

 

Aber ich erhalte in der LOG-Datei Administrator als auch Testuser haben den gleichen Zeitstempel auch wenn ich eine Verzögerung einbaue?!?

 

Das Ende der LOGON-Batch sieht so aus: 

\\server-blabla\firma$\PUBLIC\Admin\script\runasspc\runasspc.exe /cryptfile:"\\server-blabla\firma$\PUBLIC\Admin\script\del_files.spc" /quiet

:ende

@ping localhost -n 2 > NUL
::@timeout /T 2

\\server-blabla\Freigabename$

Statt des Pings habe ich auch mal timeout genutzt (soll ab Vista ja funktionieren... habe fast keine XPs mehr in der Firma (1-2 Sonder-Clients noch mit XP).

Auch habe ich beides drinnen gelassen. Es funktioniert nicht bzw. die Zeitstempel der Security-LOG-Einträge sind identisch bis auf die Sekunde.

Daher vermute ich jetzt das der alleinige Zugriff auf den Share des DC nicht als Anmeldung zählt....

Ich brauche hier was anderes...

Link zu diesem Kommentar
daabm Grand Master

daabm   1.348

Geschrieben
Geschrieben

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung :-) Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? :-):-) 

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 13 Stunden schrieb daabm:

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung :-) Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? :-):-) 

Wir haben das Beste vom Besten laut unserer sehr professionellen externen Sicherheitsdienstleister und FW-Spezialist Firma.

eine Paloalto pa-820.

Wir sind neu im Geschäft mir der Anbindung an die AD und das ist was man uns dann eingerichtet hat?

Bisher mussten wir Gruppen auf der FW einrichten lassen in welche wir dann IP-Adressen hinzugefügt oder entfernt hatten.

Ich bevorzugte dies auf Benutzerbasis zu machen und daher dieser Schritt....

WMI-Abfrage ist auch eine Möglichkeit, da wir aber eine Subdomäne haben die nicht wir selber verwalten sondern ein Semi-Pro-Admin mit unserer Unterstützung, haben wir ein Besrechtigungsproblem. An der FW kann man nur einen AD-User hinterlegen der WMI-Berechigt ist. Dazu habei ch ja bereits hier im Forum gefragt gehabt ob man einen User der in beiden Domänen WMI-Berechtigt ist, anlegen kann. Scheint nicht zu funktionieren...

 

Aber zurück zum Thema:

WOW, das mit der IP-Adresse hat geklappt! Was zum Teufel...? Wo ist der Unterschied??? Dachte immer der Name wird im Hintergrund aufgelöst und es wird IMMER mit IP gearbeitet! Warum erstellt der jetzt im Sicherheitslog einen Anmeldeeintrag wenn man mit IP statt des Namens auf eine Share geht????

Jedenfalls hat es funktioniert! Danke!

vor 13 Stunden schrieb daabm:

Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren?

 

Ach die Frage habe ich vergessen zu beantworten:

Es ist egal ob der Benutzer auf vielen PCs angemeldet sind. Die IP-Adresse ist einzigartig und dazu muss ein Benutzer assoziiert werden. Ob der Benutzer noch woanders angemeldet ist, ist der FW egal da sie entweder diese eine IP-Adresse durchlässt oder blockt aufgrund des assoziierten Benutzers zu dieser IP-Adresse.

Es ist ein Problem wenn auf einem PC mehrere User angemeldet sind. Da zählt dann immer nur der letzte.

Somit haben wir ein Problem wenn sich auf einer Windows-Maschine ein User anmeldet, dann aus welchen Gründen auch immer den User 'wechselt (Administrator zum irgendwas installieren als Beispiel). Da wird plötzlich der IP-Adresse der Administrator zugewiesen und nicht der ursprüngliche User..

Ich bin mir aber nicht sicher ob die FW auch das Abmelden berücksichtigt. Dann wäre ja wieder alles ok...

Kann ich ja mal testen. Jetzt muss ich aber erst aktuellere Probleme lösen. Denn unsere Subdomain macht auch Probleme. Dort haben einige Benutzer auch ein Konto in der Hauptdomäne (zwecks LDAP auf einige unsere Systeme) und da wird mal das Subdomain-Konto und mal das Hauptdomänen-Konto des Users 'gematcht'...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...