Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Client von wo aus sich jemand an der Domäne authentifiziert loggen

Mitglied: pablovic

pablovic (Level 1) - Jetzt verbinden

29.03.2017 um 10:22 Uhr, 482 Aufrufe, 6 Kommentare, 2 Danke

Hallo Admins

Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.

Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.
01.
Get-EventLog -LogName Security -InstanceId 4624 -Newest 1
Hiebei wäre es interessant, was mir Get-Eventlog zurückgibt, bzw wie finde ich hereaus, was ich "selecten" kann? Also wie gehe ich vor um zu schauen was es hier gibt.

Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.
01.
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='Administrator'} |
02.
Select-Object -Property timecreated,
03.
@{label='username';expression={$_.properties[0].value}},
04.
@{label='computername';expression={$_.properties[1].value}}
Hier habe ich generell ein wenig verständnisprobleme.

Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?

Danke und Gruss
P.
Mitglied: DerWoWusste
29.03.2017 um 14:10 Uhr
Hi Pablovic.

Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, ob sich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?
Bitte warten ..
Mitglied: pablovic
29.03.2017 um 15:36 Uhr
Danke für den Link, ich schätze die Scripts von Colinardo normalerweise sehr aber dieses wäre mir etwas zu viel, bzw mit Kanonen auf Spatzen geschossen, trotzdem brachte es mich etwas weiter.

Gruss P.
Bitte warten ..
Mitglied: pablovic
29.03.2017 um 15:40 Uhr
Hi DerWoWusste

Es geht mir darum herauszufinden wo die Credentials hinterlegt wurden, auch aus einem Sicherheitsgedanken.
(So quasi mit Domain Admin funktioniert die Scan to Folder Funktion) .
Zu anderen möchte ich das Passwort ändern und versuchen den Impact möglichst klein zu halten.

Gruss P.
Bitte warten ..
Mitglied: pablovic
29.03.2017, aktualisiert um 15:45 Uhr
Im Moment hab ich das so gelöst:
01.
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='S-1-5-21-2344404026-2485544786-1835995667-500';} | 
02.
Select-Object -Property timecreated,
03.
@{label='IpAddress';expression={$_.properties[18].value}}
Den Wert für die properties musste ich etwas suchen aber das Skript gibt mir jetzt was ich will.

Danke
Bitte warten ..
Mitglied: DerWoWusste
29.03.2017 um 17:19 Uhr
Ok, Du musst die Verwendung von Domänenadmins für lokale Funktionen wie Dienste oder geplante Tasks dringend loswerden - das ist zu gefährlich. Zum Aufspüren würde ich nicht am DC monitoren, sondern Skripte oder Tools nehmen, wie den Service Credentials Manager: http://www.cjwdev.com/Software/ServiceCredMan/Download.html
Bitte warten ..
Ähnliche Inhalte
Firewall

PfSense Internet Zugriff gewähren wenn User sich erst Authentifiziert

gelöst Frage von matze2090Firewall6 Kommentare

Hallo, meine „Idee“ kommt von IPFire. Da habe ich grundsätzlich den Zugang von LAN zu WAN gesperrt. Erst wenn ...

LAN, WAN, Wireless

Kennt Jemand Edimax WLAN?

gelöst Frage von StefanKittelLAN, WAN, Wireless6 Kommentare

Hallo, hat Jemand Erfahrungen mit Edimax WLAN APs und Controller? Ich habe eben Werbung von API bekommen. Diese Geräte ...

Suche Projektpartner

Kennt jemand gute Projektbörsen ?

gelöst Frage von ChewraptorSuche Projektpartner5 Kommentare

Hallo, ich bin in Auftragsschwachen zeiten immer mal wieder auf Projektbörsen unterwegs um mir kleine Aufträge an Land zu ...

Firewall

Jemand Erfahrung mit pfctl ?

Frage von AlchimedesFirewall

Hallo , hat jemand von Euch auf MacOS 10.13 Erfahrung mit pfctl ? Privat oder im Betrieb ? Bei ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 21 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Windows 10
WIN10 erfordert Internetzugang bei Änderung von Einstellungen
Frage von SylviaWindows 1014 Kommentare

Hallo zusammen, wir haben WIN10 Enterprise. Wenn man als normaler Benutzer die Einstellungen (Zahnrad) und da z.B. System öffnet, ...

Humor (lol)
"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"
Tipp von SnowbirdHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)