DC mit Server 2022: Audit Konfig. in "Local Security Policy" bleibt nicht gespeichert?

[cj_berlin 1.315]

vor 25 Minuten schrieb zahni:

Wenn das wirklich so ist, was ich nicht glaube, halt ich das für groben Unfug.

Proxies verwenden meist NTLM oder besser Kerberos zur Benutzeranmeldung. Da wird nicht aus dem Eventlog gelesen, sondern vom Windows höchstens geschrieben.

Ja, weil Proxies Authentifizierung unterstützen, hier geht es aber um Firewalls.

Und ja, egal, für was Du oder ich das halten, es funktioniert so - SOPHOS mit STAS, PaloAlto mit UserID, usw. usw. Alternative dazu ist ein Agent auf jedem Endpoint, wie TMG einen hatte.

[andrew 15]

Hoi Zahni

 

Benutze doch kurz hier im Blog von diesem Beitrag die Textsuche und gib diesen Satz ein: 

 

„Nils, da hier ist der offizielle Sophos Support“

 

dann landest Du an der Stelle in diesem Blog, wo ich schon einmal auf Sophos verwiesen habe. 

 

Oder: google, dann als Suchbegriff z. B. Sophos STAS eingeben : -)

 

 

 

 

vor 16 Minuten schrieb cj_berlin:

Alternative dazu ist ein Agent auf jedem Endpoint, wie TMG einen hatte

 

Das ist genau so : -)

[zahni 554]

Ok, wir verwenden hier ausschließlich explizite Proxies, was diese Dinge auf oft können. Inkl. Contentfilter, SSL interception usw.

 Das Andere hört sich mir viel zu kompliziert an.

[andrew 15]

Ok, nun gerne wieder zurück zum eigentlichen Thema/ Problem.

Wie weiter?

 

Müssen wir einen anderen Weg einschlagen?

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

 

Was haltet Ihr vom Vorschlag? Wenn wir herausfinden würden, welches ADMX Template für diesen Audit Bereich unter Security zuständig ist Und: wenn wir diese ADMX Vorlage halt einfach neu herunterladen und dann bei mir auf dem DC in den Central Store pflanzen? Würde das vielleicht helfen?

 

Oder könnte es hilfreich sein, für die GUID Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{f3ccc681-b74c-4060-9f26-cd84525dca2a} (Audit Bereich in der GPO) herausfinden zu wollen, welche .DLL dahinter steckt und ich diese dann austauschen würde, dass ich endlich in der GPO wie hier im Bild zu sehen, die entsprechende Überwachung konfigurieren kann?

 

 

bearbeitet 5. September 2022 von andrew

[Damian 1.533]

@andrew Was erhoffst Du dir von deiner Diskussionsführung?

 

vor 23 Minuten schrieb andrew:

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

Niemand muss hier irgend etwas. Alle Member, egal welchen Status sie haben, stellen ihr Wissen und ihre Erfahrung hier kostenlos und in ihrer Freizeit zur Verfügung. Wenn sie nicht (oder nicht mehr) antworten, haben sie entweder keine Lösung für Dein Problem oder einfach keine Lust mehr zu antworten - was ich persönlich absolut nachvollziehen kann. Deine Diskussionsführung ist gelinde gesagt anstrengend und zeugt von wenig Respekt.

 

Anstatt hier von Anderen ein "neues Denken" zu fordern, solltest Du dein Denken bei Gelegenheit einmal reflektieren. Wer hier Hilfe sucht, sollte nett darum fragen, nicht fordern und auch mal Danke sagen.. 

 

Sollte sich noch ein Member über Deine Postings beschweren, wird dieser Thread wegen Respektlosigkeit geschlossen.

 

VG

Damian

[testperson 1.677]

HI,

  

vor 38 Minuten schrieb andrew:

Müssen wir einen anderen Weg einschlagen?

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

 

ich bin mir nicht sicher, ob ich das etwas kleinlich lese oder ob du eine völlig falsche Erwartungshaltung hast. "Wir" _müssen_ vermutlich gar nichts, du _könntest_ aber für Lösungsvorschlage ein Ticket bei Microsoft oder auch bei Sophos aufmachen. Da _könntest_ du dann auch mit einer Erwartungshaltung ans Thema gehen.

 

Dennoch ein Lösungsvorschlag: Ist bei dir in irgendeiner Policy folgende Einstellung gesetzt: "Computer Configuration" -> "Windows Settings" -> "Local Policies" -> "Security Options" -> "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings."?

(Security auditing settings are not applied to Windows Vista-based and Window Server 2008-based computers when you deploy a domain-based policy - Windows Server | Microsoft Docs)

 

Gruß

Jan

bearbeitet 5. September 2022 von testperson

[tesso 375]

In der lokalen Policy konfiguriert man nichts. 
Nimm die DDCP. Oder eine neu GPO die auf die DCs verlinkt wird. 
schau dir die Policies inklusive der Priorität an. 
Nutzt du nur die Einstellungen des Audits wie im Screenshot oder auch das Advanced Audit?

[andrew 15]

vor einer Stunde schrieb Damian:

Niemand muss hier irgend etwas.

 

Du hast recht, lieber Damian. Niemand muss.

Es scheint, als hättest du dich direkt angegriffen und oder verletzt gefühlt, anders kann ich deine Reaktion nicht deuten?

 

Das "müssen" bezog sich, wenn du ihn so interpretieren würdest, wie ich es formulierte hatte, auf den letzten Satz, welchen ich nun absichtlich Fett markiert habe.

vor einer Stunde schrieb Damian:

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

 

Es ist sicher nicht meine Absicht, hier auf dieser technisch, orientierten Plattform A zu streiten und B euch User*innen etwas aufzwingen zu wollen.

Man kann, soll, darf seine Meinung öffentlich äussern, auch hier. Jede und jeder ist hoffentlich gross und alt genug, um seine Meinung zu einem Post/ Satz, Äusserung direkt und höflich zu deponieren.

 

vor einer Stunde schrieb Damian:

Wer hier Hilfe sucht, sollte nett darum fragen, nicht fordern und auch mal Danke sagen.. 

 

Du unterstellst mir also, dass ich noch NICHT 1x danke gesagt habe?

Ok, du darfst gerne ein paar Beispiele haben, hier

 

Am 4.9.2022 um 15:10 schrieb andrew:

Hallo Norbert

 

Danke für die schnelle Antwort. Das war wirklich ein guter Denkanstoss.

 

Oder hier

 

vor 9 Stunden schrieb andrew:

Hallo Zahni

vor 8 Stunden schrieb andrew:

Saludos CJ

 

Hey, Du bist aber aufmerksam, super cool, thx. Ach so, ja, dann muss ich das Losging schleunigst anpassen, danke vielmals.

Ich habe dies nachträglich auch gelernt (da hatte ich die Überschrift für diesen Post schon getätigt resp. den Post).

Wie kann ich die Überschrift/ Titel dieses Posts hier noch ändern?

 

Immer schön mit fett hervorgehoben

 

 

Liebe Testperson

 

Danke für diesen Input hier 

vor einer Stunde schrieb testperson:

Dennoch ein Lösungsvorschlag: Ist bei dir in irgendeiner Policy folgende Einstellung gesetzt: "Computer Configuration" -> "Windows Settings" -> "Local Policies" -> "Security Options" -> "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings."?

 

 

Soeben habe ich rsop.msc auf dem DC aufgeführt und in der besagten Einstellung finde ich keine aktivierte Funktion.

 

War aber ein guter Input, so finde ich.

bearbeitet 5. September 2022 von andrew

[testperson 1.677]

vor 8 Minuten schrieb andrew:

Soeben habe ich rsop.msc auf dem DC aufgeführt und in der besagten Einstellung finde ich keine aktivierte Funktion.

 

Dann konfiguriere die Policy einmal und setze sie auf "Disabled".

[andrew 15]

vor 18 Minuten schrieb testperson:

Dann konfiguriere die Policy einmal und setze sie auf "Disabled".

 

Liebe Testperson, genau das habe ich soeben gemacht und sage: And the winner is: rate mal? Du hat voll in das schwarze getroffen, wirklich Hammer mässig.

Der Thread kann also geschlossen werden, sowas von geil

 

Aber es interessiert mich jetzt trotzdem: hast Du dieses Problem schon gekannt oder hast Du Dich jetzt einfach quasi "für mich" in das Problem "reingebissen"?
Wow, ich als technisch, begeisterte Person, welche eigentlich immer und jedes Problem versuche zu lösen, solange es "der Wert" ist, bin jetzt wirklich extrem glücklich, hier mit diesem Board zusammen, mit Euch zusammen, besonders dank Dir, liebe Testperson (wie heisst Du eigentlich?) hier eine Lösung gefunden zu haben, yes man, you ar the man ;)

bearbeitet 5. September 2022 von andrew

[boardadmin 0]

vor 31 Minuten schrieb andrew:

 

Liebe Testperson, genau das habe ich soeben gemacht und sage: And the winner is: rate mal? Du hat voll in das schwarze getroffen, wirklich Hammer mässig.

Der Thread kann also geschlossen werden, sowas von geil

 

Der Beitrag ist wie gewünscht geschlossen.

 

Bitte nimm Dir für die Zukunft vor, etwas konstruktiver zu agieren. Wie Damian schon sagte: Wir helfen gerne, aber das kann man fairer gestalten.
Zumal Du der Hilfesuchende bist, das berechtigt einen Fragesteller nicht Forderungen zu stellen oder Antworten der Helfenden zu beurteilen.

 

Bitte beim nächsten Mal beherzigen und sehe es als freundlichen Reminder!