kaineanung 14 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 Hallo Leute, ich frage mich gerade ob es möglich ist einen Eintrag in der DC-Ereignisanzeige (Sicherheit) einen Login-Eintrag mit angemeldetem User zu erzwingen? Unsere Firewall benutzt diese LOG-Datei um zu ermittelt welcher Benutzer sich zuletzt an welche IP-Adresse angemeldet hat damit die Benutzer von der FW identifiziert werden können. Wir benutzen noch ein LOGON-BAT welche gegen Ende noch ein RunAs benutzt um als Administrator diverese Operationen auszuführen. Dies verfälscht natürlich das LOG und da würde ich gerne noch irgendwas dahinter setzen welches den letzten LOG-Eintrag wieder auf den aktuell angemeldeten User setzt. Wenn ich manuell im Windows-Explorer auf den Fileserver zugreife (auf eine berechtigte Freigabe -> also ohne Anmeldeinformationen eingeben zu müssen) wird ein Eintrag in der LOG hinzugefügt mit dem angemeldeten USer. Was könnte ich in der LOGON-BAT machen damit ich diesen gleichen Effekt bekomme? Ich könnte wahrscheinlich Laufwerksmapping machen auf eine Freigabe die für alle Mitarbeiter zugänglich ist. Aber gibt es auch einfachere Wege oder ein Befehl oder irgendwas welches das Gleiche auslöst? Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 Das geht ganz einfach mittels Powershell. Zuerst ein neues Event Log erzeugen New-EventLog -LogName Application -Source "MeineAnwendung" Geschrieben wird mittels: Write-EventLog -LogName "Application" -Source "MeineAnwendung" -EventID 9999 -Message "Hier die Message für das EventLog" Ggf. Write-eventlog um den Eintrag -computername ergänzen. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 29. August 2019 Autor Melden Teilen Geschrieben 29. August 2019 Geht das auch in einer BAT-Datei? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 https://ss64.com/nt/eventcreate.html ich weiß aber nicht ob es mit dem Security Log geht. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 29. August 2019 Autor Melden Teilen Geschrieben 29. August 2019 Da steht 'requires administrator rights'. b***d: wenn ich das als RunAs Administrator mache dann habe ich wieder den falschen User in der Logdatei. Gibt es irgendein kurzen 'Pfusch' den ich machen kann? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 Das ganze konstrukt überdenken, dass du keinen Workaround brauchst. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 29. August 2019 Autor Melden Teilen Geschrieben 29. August 2019 @Dukel LOGON-BAT wird in 6-8 Wochen abgeschafft. Arbeiten hier noch mit einem alten W2K3-Server als DC. Habe schon fast alles in GPO transferiert und werde es dann nur noch auf die DC ausrollen. LOGON-BAT Ciaos.... Aber bis dahin brauche ich den letzten Sicherheits-LOG-Eintrag des angemeldeten Users und nicht des Administrators. Und da ich in der LOGON-BAT auch SPC-Dateien (verschlüsseltes 'runas') als Administrator ausführe, wird dieser als letzter Benutzer in die LOG-Datei eingetragen. Meine Idee war: ich mache lediglich ein Pseudo-Zugriff auf eine Freigabe in der LOGIN-Datei am Ende mit einem Zeitverzug von 2 Sekunden. Also einfach \\server-blabla\Freigabename$ Aber ich erhalte in der LOG-Datei Administrator als auch Testuser haben den gleichen Zeitstempel auch wenn ich eine Verzögerung einbaue?!? Das Ende der LOGON-Batch sieht so aus: \\server-blabla\firma$\PUBLIC\Admin\script\runasspc\runasspc.exe /cryptfile:"\\server-blabla\firma$\PUBLIC\Admin\script\del_files.spc" /quiet :ende @ping localhost -n 2 > NUL ::@timeout /T 2 \\server-blabla\Freigabename$ Statt des Pings habe ich auch mal timeout genutzt (soll ab Vista ja funktionieren... habe fast keine XPs mehr in der Firma (1-2 Sonder-Clients noch mit XP). Auch habe ich beides drinnen gelassen. Es funktioniert nicht bzw. die Zeitstempel der Security-LOG-Einträge sind identisch bis auf die Sekunde. Daher vermute ich jetzt das der alleinige Zugriff auf den Share des DC nicht als Anmeldung zählt.... Ich brauche hier was anderes... Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 Klar kann man die Powershell aus einer Batchdatei starten. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 30. August 2019 Autor Melden Teilen Geschrieben 30. August 2019 vor 13 Stunden schrieb daabm: Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? Wir haben das Beste vom Besten laut unserer sehr professionellen externen Sicherheitsdienstleister und FW-Spezialist Firma. eine Paloalto pa-820. Wir sind neu im Geschäft mir der Anbindung an die AD und das ist was man uns dann eingerichtet hat? Bisher mussten wir Gruppen auf der FW einrichten lassen in welche wir dann IP-Adressen hinzugefügt oder entfernt hatten. Ich bevorzugte dies auf Benutzerbasis zu machen und daher dieser Schritt.... WMI-Abfrage ist auch eine Möglichkeit, da wir aber eine Subdomäne haben die nicht wir selber verwalten sondern ein Semi-Pro-Admin mit unserer Unterstützung, haben wir ein Besrechtigungsproblem. An der FW kann man nur einen AD-User hinterlegen der WMI-Berechigt ist. Dazu habei ch ja bereits hier im Forum gefragt gehabt ob man einen User der in beiden Domänen WMI-Berechtigt ist, anlegen kann. Scheint nicht zu funktionieren... Aber zurück zum Thema: WOW, das mit der IP-Adresse hat geklappt! Was zum Teufel...? Wo ist der Unterschied??? Dachte immer der Name wird im Hintergrund aufgelöst und es wird IMMER mit IP gearbeitet! Warum erstellt der jetzt im Sicherheitslog einen Anmeldeeintrag wenn man mit IP statt des Namens auf eine Share geht???? Jedenfalls hat es funktioniert! Danke! vor 13 Stunden schrieb daabm: Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? Ach die Frage habe ich vergessen zu beantworten: Es ist egal ob der Benutzer auf vielen PCs angemeldet sind. Die IP-Adresse ist einzigartig und dazu muss ein Benutzer assoziiert werden. Ob der Benutzer noch woanders angemeldet ist, ist der FW egal da sie entweder diese eine IP-Adresse durchlässt oder blockt aufgrund des assoziierten Benutzers zu dieser IP-Adresse. Es ist ein Problem wenn auf einem PC mehrere User angemeldet sind. Da zählt dann immer nur der letzte. Somit haben wir ein Problem wenn sich auf einer Windows-Maschine ein User anmeldet, dann aus welchen Gründen auch immer den User 'wechselt (Administrator zum irgendwas installieren als Beispiel). Da wird plötzlich der IP-Adresse der Administrator zugewiesen und nicht der ursprüngliche User.. Ich bin mir aber nicht sicher ob die FW auch das Abmelden berücksichtigt. Dann wäre ja wieder alles ok... Kann ich ja mal testen. Jetzt muss ich aber erst aktuellere Probleme lösen. Denn unsere Subdomain macht auch Probleme. Dort haben einige Benutzer auch ein Konto in der Hauptdomäne (zwecks LDAP auf einige unsere Systeme) und da wird mal das Subdomain-Konto und mal das Hauptdomänen-Konto des Users 'gematcht'... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. August 2019 Melden Teilen Geschrieben 30. August 2019 Es gibt auch Firewall bzw. Proxies (dürfte die bessere Wahl sein), die ein SSO via Kerberos ermöglichen... Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. September 2019 Melden Teilen Geschrieben 1. September 2019 Kennst Du den Unterschied zwischen NTLM und Kerberos? Ich vermute "noch" nicht... IP = NTLM, Name = Kerberos... Lohnt sich zu lesen: http://technet.microsoft.com/library/cc772815.aspx Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 4. September 2019 Autor Melden Teilen Geschrieben 4. September 2019 Am 1.9.2019 um 22:37 schrieb daabm: Kennst Du den Unterschied zwischen NTLM und Kerberos? Ich vermute "noch" nicht... IP = NTLM, Name = Kerberos... Ja, kenne ich NOCH nicht... Werde ich mir mal in einer ruhigen Minute mal anschauen. Danke! ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.