Garant 3 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Moin, lässt sich ein Logging aktivieren, wenn neue GPOs erstellt werden und wenn sich Benutzer mit administrativen Rechten irgendwo anmelden? Und kann man diese ggf. zentral zusammenlaufen lassen? Wie macht Ihr das? Zitieren
NilsK 2.988 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Moin, die kurze Antwort ist "ja", aber vielleicht sagst du noch dazu, was du denn erreichen möchtest. Sonst wird das vermutlich ziemlich fruchtlos. Gruß, Nils Zitieren
Garant 3 Geschrieben 17. September 2020 Autor Melden Geschrieben 17. September 2020 Ich hätte gerne eine Möglichkeit, dass ich erkennen kann, wenn z.B. neue Gruppenrichtlinien erstellt oder vorhandene bearbeitet werden. Und das ich z.B. sehen kann, dass sich ein Admin auf DC XYZ angemeldet hat. Die Tätigkeit am Ende muss ich (erstmal) nicht sehen. Zitieren
NilsK 2.988 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Moin, ja, das habe ich verstanden. Aber in welchem Zusammenhang steht das? Was ist das übergeordnete Ziel? Welche Szenarien willst du abdecken? Warum frage ich das? Damit wir einen Lösungsweg finden, der für dich passt. Denn die Antwort "guck doch in der GPMC oder auf dem DC nach" wird vermutlich nicht das sein, was du hören willst. Gruß, Nils Zitieren
Garant 3 Geschrieben 17. September 2020 Autor Melden Geschrieben 17. September 2020 Um herauszubekommen, wenn sich z.B. irgendwas "verselbstständig". Verursacht durch Ransomware o.ä.. Zitieren
NilsK 2.988 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Moin, du bist aber ein harter Fall. Antworten gibst du nicht gern, oder? Warum würdest du in dem Fall ausgerechnet nach GPOs schauen? Und warum interessiert dich die Anmeldung eines DCs? Wenn Ransomware so weit ist, dass sie sich gültig an einem DC anmeldet, dann ist es ziemlich sicher für Reaktionen schon sehr spät. Du wirst bei professioneller Monitoring-Software mit Sicherheit Sensoren finden, die bei sowas anschlagen. Wenn du das selbst bauen willst, könntest du das über die Anmelde- und die Objektüberwachung tun und auf die Einträge im Eventlog reagieren. Wenn keine harte, definierte Anforderung dahintersteht, rate ich aber davon ab. Der Aufwand zum Entwickeln ist hoch und die Überwachung kostet Leistung. Gruß, Nils Zitieren
Garant 3 Geschrieben 17. September 2020 Autor Melden Geschrieben 17. September 2020 vor 4 Minuten schrieb NilsK: Moin, du bist aber ein harter Fall. Antworten gibst du nicht gern, oder? Warum würdest du in dem Fall ausgerechnet nach GPOs schauen? Und warum interessiert dich die Anmeldung eines DCs? Wenn Ransomware so weit ist, dass sie sich gültig an einem DC anmeldet, dann ist es ziemlich sicher für Reaktionen schon sehr spät. Du wirst bei professioneller Monitoring-Software mit Sicherheit Sensoren finden, die bei sowas anschlagen. Wenn du das selbst bauen willst, könntest du das über die Anmelde- und die Objektüberwachung tun und auf die Einträge im Eventlog reagieren. Wenn keine harte, definierte Anforderung dahintersteht, rate ich aber davon ab. Der Aufwand zum Entwickeln ist hoch und die Überwachung kostet Leistung. Gruß, Nils Hey, sorry, das tut mir Leid. Eigentlich habe ich gedacht, dass die Antwort zur "Ransomware-Prävention" dir ausreichen würde. War keine absicht so karge Antworten zu schreiben. Ich habe die Hoffnung gehabt, dass ich durch eine Logging/Monitoring-Software auf jeden Fall anomalien zum Tagesgeschäft herausfinden könnte und ggf., auch wenn es vielleicht zu spät ist, was mitkriegen könnte und auch Rückwirkend daraus schlüsse ziehen könnte. Was wäre denn eine prof. Monitoring-Software, die mir sowas abbilden kann? Auf selber bauen habe ich (eigentlich) keine Lust. Gruß Zitieren
Dukel 463 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Wie willst du da Ransomware erkennen? Die loggt sich unter Umständen nicht einmal irgendwo ein. Hast du ein umfassendes Sicherheitskonzepot bei dem nur noch dieser Punkt fehlt? Zitieren
Garant 3 Geschrieben 17. September 2020 Autor Melden Geschrieben 17. September 2020 vor 9 Minuten schrieb Dukel: Hast du ein umfassendes Sicherheitskonzepot bei dem nur noch dieser Punkt fehlt? Nicht direkt, ich mache mir nur einige Gedanken zu dem gesamten Thema. Ich dachte es wäre schlau solche Events zu überwachen, da man, wie gesagt, anomalien feststellen könnte. Zitieren
NilsK 2.988 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 (bearbeitet) Moin, ich glaube, du stellst dir das zu einfach vor. "Anomalieerkennung" ist etwas, wo es ganze Industriezweige gibt. Da ist man längst davon weg, einzelne Vorkommnisse aufdecken zu wollen. Intrusion Detection wird heute unter Einsatz Künstlicher Intelligenz gemacht. Microsofts ATA/ATP ist ein Beispiel dafür, es gibt aber auch zahlreiche andere Anbieter. Wichtiger ist auch die Vorbeugung. Ist ein Angreifer erst mal soweit, dass er die von dir genannten Events auslösen könnte, dann ist er schon viel zu weit im System. Gruß, Nils bearbeitet 17. September 2020 von NilsK Zitieren
NorbertFe 2.184 Geschrieben 17. September 2020 Melden Geschrieben 17. September 2020 Und wenn, wird sich Ransomware mit hoher Wahrscheinlichkeit nicht per GPO irgendwo niederschlagen/zeigen. Das geht wirklich "sinnvoller". Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.