Audit RunAS Administrator
Hallo,
ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern.
Mein Ziel: Ich möchte gerne wissen, wann, welcher Computer, welcher User, welches Programm als RunAS Administrator/RunAS anderer Benutzer ausgeführt wurde. (als Einzige Ausgabe wäre super) --> soll am DC ersichtlich sein.
Derzeit habe ich mich beschäftigt mit dem aktivieren verschiedener Richtlinien per GPO bzw. lokal am Computer.
Die Richtlinien:
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Prozessnachverfolgung überwachen
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Anmeldeereignisse überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Überprüfen der Anmeldeinformationen überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Kerberos-Authentifizierungsdienst überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/(Anmelden/Abmelden)/Anmelden überwachen
Vereinzelt komme ich auf ein Ergebnis, aber leider nicht als Ganzes.
Event ID: 4648 & 4688 ist nur sporadisch hilfreich.
DC Server 2008 R2
Client Windows 7
Hoffentlich kann mir diesbezüglich wer weiter helfen.
Beste Grüße,
Alex
ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern.
Mein Ziel: Ich möchte gerne wissen, wann, welcher Computer, welcher User, welches Programm als RunAS Administrator/RunAS anderer Benutzer ausgeführt wurde. (als Einzige Ausgabe wäre super) --> soll am DC ersichtlich sein.
Derzeit habe ich mich beschäftigt mit dem aktivieren verschiedener Richtlinien per GPO bzw. lokal am Computer.
Die Richtlinien:
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Prozessnachverfolgung überwachen
- Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie/Anmeldeereignisse überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Überprüfen der Anmeldeinformationen überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/Kontoanmeldung/Kerberos-Authentifizierungsdienst überwachen
- Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration /Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt/(Anmelden/Abmelden)/Anmelden überwachen
Vereinzelt komme ich auf ein Ergebnis, aber leider nicht als Ganzes.
Event ID: 4648 & 4688 ist nur sporadisch hilfreich.
DC Server 2008 R2
Client Windows 7
Hoffentlich kann mir diesbezüglich wer weiter helfen.
Beste Grüße,
Alex
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252491
Url: https://administrator.de/forum/audit-runas-administrator-252491.html
Ausgedruckt am: 03.05.2025 um 08:05 Uhr
7 Kommentare
Neuester Kommentar
Moin.
Beschreib doch mal, was "nur sporadisch" hilfreich ist. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ... zeigt ein Beispielevent und da steht für meinen Geschmack alles Wichtige drin.
Beschreib doch mal, was "nur sporadisch" hilfreich ist. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ... zeigt ein Beispielevent und da steht für meinen Geschmack alles Wichtige drin.
Hier ein Beispiel, wo ich cmd als Administrator ausführen will:
EventID: 4648
Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WSNEU$
Kontodomäne: TEST
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: xyz
Kontodomäne: TEST
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0xb04
Prozessname: C:\Windows\System32\consent.exe
Netzwerkinformationen:
Netzwerkadresse: ::1
Port: 0
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Auf der Seite die du mir geschrieben hast, bin ich schon gestoßen, ebenfalls aktiviert. Habe ich in der Angabe auch drinnen.
Das Problem was ich nun habe ist, dass mir die UAC reinpfuscht und mir jedesmal das Programm "consent.exe" ins Protokoll hinein schreibt. Demnach weiß ich wieder nicht, welches Programm verwendet wurde.
Daher meine Aussage sporadisch, denn in meinen Test hatte ich schon mal in den Logs "cmd.exe" aber nur wenn die Richtlinien "Prozessnachverfolgung überwache" alleine eingestellt war.
LG,
Alex
EventID: 4648
Anmeldeversuch mit expliziten Anmeldeinformationen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WSNEU$
Kontodomäne: TEST
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: xyz
Kontodomäne: TEST
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Zielserver:
Zielservername: localhost
Weitere Informationen: localhost
Prozessinformationen:
Prozess-ID: 0xb04
Prozessname: C:\Windows\System32\consent.exe
Netzwerkinformationen:
Netzwerkadresse: ::1
Port: 0
Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Auf der Seite die du mir geschrieben hast, bin ich schon gestoßen, ebenfalls aktiviert. Habe ich in der Angabe auch drinnen.
Das Problem was ich nun habe ist, dass mir die UAC reinpfuscht und mir jedesmal das Programm "consent.exe" ins Protokoll hinein schreibt. Demnach weiß ich wieder nicht, welches Programm verwendet wurde.
Daher meine Aussage sporadisch, denn in meinen Test hatte ich schon mal in den Logs "cmd.exe" aber nur wenn die Richtlinien "Prozessnachverfolgung überwache" alleine eingestellt war.
LG,
Alex
Ok, verstehe.
Sobald etwas elevation erfordert, wird consent.exe angetriggert (das ist die exe der UAC-Abfrage) und landet im Log anstelle der eigentlichen exe.
Darf ich zwischenfragen, wozu das Ganze? Warum willst Du wissen, was mit Adminrechten gemacht wird? Weil zuverlässig ist diese Überwachung ja nicht - Admins können die Überwachungseinstellungen eh ändern, wenn sie wollen.
Zum Weiterkommen: diese Prozessnachverfolgung lässt sich also nicht in Kombination verwenden?
Sobald etwas elevation erfordert, wird consent.exe angetriggert (das ist die exe der UAC-Abfrage) und landet im Log anstelle der eigentlichen exe.
Darf ich zwischenfragen, wozu das Ganze? Warum willst Du wissen, was mit Adminrechten gemacht wird? Weil zuverlässig ist diese Überwachung ja nicht - Admins können die Überwachungseinstellungen eh ändern, wenn sie wollen.
Zum Weiterkommen: diese Prozessnachverfolgung lässt sich also nicht in Kombination verwenden?
Genau, einer der Gründe warum ich nicht weiterkomme.
Ganz genau ein Admin ;). Diese Einrichtung stellt sicher dass niemand unbefugter damit hantiert. Eine reine Vorsichtsmaßnahme.
Ich hab schon so viel probiert, dass ich es eben nochmal testen musste. Bekomme ebenfalls nur "consent.exe" als ausgeführtes Programm.
Mit externen Tools wie: netwirx, ADAuditPlus oder Lepide Event Log Manager haben mir ebenfalls nicht geholfen.
Derzeit gehen mir meine Karten aus und ich weiß echt nicht mehr weiter..
Ganz genau ein Admin ;). Diese Einrichtung stellt sicher dass niemand unbefugter damit hantiert. Eine reine Vorsichtsmaßnahme.
Ich hab schon so viel probiert, dass ich es eben nochmal testen musste. Bekomme ebenfalls nur "consent.exe" als ausgeführtes Programm.
Mit externen Tools wie: netwirx, ADAuditPlus oder Lepide Event Log Manager haben mir ebenfalls nicht geholfen.
Derzeit gehen mir meine Karten aus und ich weiß echt nicht mehr weiter..
Du bist nicht eingegangen auf meinen Appell, den Nutzen zu überdenken. Die Überwachung würde ja nichts bringen, sobald Du einen Admin vor Dir hast, der Sie aushebeln möchte, tut er das einfach.
In wie weit hilft mir dass nun um an mein Ziel zukommen?
Es hilft nicht, es soll Dir nur klar machen, dass das Ziel eh nicht erreichbar ist. Du kannst Admins nicht vollständig kontrollieren, bzw. nur soweit, wie sie es zulassen.
