michelo82 12 Geschrieben 20. Januar Melden Geschrieben 20. Januar Hallo zusammen, wir sind dabei unsere Firewall auf eine Sophos XGS zu migrieren. Hier wird die Anbindung ans AD über das Tool/Dienst STAS realisiert. Für die Erkennung, ob ein User angemeldet ist, wird das Event 4768 verwendet. Ob sich der User abgemeldet hat funktioniert via WMI, heißt dort "Logoff Detection". Nun macht es sich die Sophos-Dokumentation da sehr einfach und fordert, dass der STAS-Nutzer einfach überall Admin sein soll. Für WMI entsprechend lokaler Admin auf den Clients. Ich möchte das allerdings nicht und nur die nötigsten Berechtigungen vergeben. STATS muss lediglich für seine "Logoff Detection" den Wert "UserName" per WMI auslesen. Mir gelingt es aber leider nicht die Berechtigunge dahingehend einzustellen bzw. suche ich an der falschen Stelle. Ich hatte den STAS-User bereits in den Gruppen Distributed COM-Benutzer, Leistungsprotokollbenutzer, Leistungsüberwachungsbenutzer und habe die "Konto aktivieren" & "Remoteaktivierung" in DCOMCNFG.exe / wmimgmt.msc angepasst. Testen kann man das in der CMD: ohne lokale Adminrechte auf dem Client bleibt der Wert "UserName" alledings leer. C:\WINDOWS>wmic wmic:root\cli>/user: DOMAIN\STAS Enter the password :******** wmic:root\cli>/node: 192.168.1.10 (Test-Client IP) wmic:root\cli>computersystem get username /value UserName=DOMAIN\testuser (hier sollte jetzt der Angemeldete User angzeigt werden) Wo setze ich die entsprechende Berechtigungen um als Benutzer (nicht-admin) per WMI leserechte auf den Wert "UserName" zu erhalten? Zitieren
daabm 1.384 Geschrieben 6. Februar Melden Geschrieben 6. Februar WMI-Remoting - OMG, da musst Du an Namespace-Berechtigungen drehen. Vergiß es lieber - wir hatten so was ähnliches auch mal und haben das Produkt dann verworfen... Zitieren
cj_berlin 1.393 Geschrieben 7. Februar Melden Geschrieben 7. Februar Was @daabm sagt. Least Privilege für STAS ist nichts für Leute, die ein Leben haben. Zitieren
cj_berlin 1.393 Geschrieben 7. Februar Melden Geschrieben 7. Februar Am 20.1.2025 um 11:49 schrieb michelo82: Ich hatte den STAS-User bereits in den Gruppen Distributed COM-Benutzer, Leistungsprotokollbenutzer, Leistungsüberwachungsbenutzer und habe die "Konto aktivieren" & "Remoteaktivierung" in DCOMCNFG.exe / wmimgmt.msc angepasst. Dabei bräuchtest Du ja eigentlich "Remoteverwaltungsbenutzer", die genau dafür da ist - aber eigentlich auch schon zu hoch privilegiert :-( Am 20.1.2025 um 11:49 schrieb michelo82: C:\WINDOWS>wmic wmic:root\cli>/user: DOMAIN\STAS Enter the password :******** wmic:root\cli>/node: 192.168.1.10 (Test-Client IP) wmic:root\cli>computersystem get username /value UserName=DOMAIN\testuser (hier sollte jetzt der Angemeldete User angzeigt werden) Und wenn die Firewall genau das tut (Workstations per IP-Adresse über WMI ansprechen) dann verheiratest Du dich halt für immer mit NTLM, nur um einen Logoff zu erkennen. Was ist denn die konkrete Bedrohung, die mit diesem Mechanismus abgewendet werden soll? Dass jemand sich nach Feierabend die IP vom Kollegen reinspooft und auf irgendwelche hochgeheimen Internetseiten zugreifen kann, wo der Kollege hin darf und der Spoofende nicht? Zitieren
zahni 566 Geschrieben 8. Februar Melden Geschrieben 8. Februar Was soll damit erreicht werden? Geht es um einen transparenten Proxy? Da würde ich einen echten Proxy mit Kerberos-Auth bevorzugen. Der kann dann über LDAP Gruppenzugehörigkeiten abfragen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.