pablovic
Mar 29, 2017
view1437
view6
0
Goto Top

Client von wo aus sich jemand an der Domäne authentifiziert loggen

GermansolvedQuestionBatch, ShellDevelopment
Hallo Admins

Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.

Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.
Get-EventLog -LogName Security -InstanceId 4624 -Newest 1
Hiebei wäre es interessant, was mir Get-Eventlog zurückgibt, bzw wie finde ich hereaus, was ich "selecten" kann? Also wie gehe ich vor um zu schauen was es hier gibt.

Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='Administrator'} |  
Select-Object -Property timecreated,
@{label='username';expression={$_.properties.value}},  
@{label='computername';expression={$_.properties[1].value}}
Hier habe ich generell ein wenig verständnisprobleme.

Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?

Danke und Gruss
P.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 333521

Url: https://administrator.de/contentid/333521

Printed on: April 16, 2024 at 18:04 o'clock

6 Comments
Latest comment
Goto Top
Mitglied: 132692
132692 Mar 29, 2017 at 08:24:35 (UTC)
Goto Top
An- und Abmelde Ereignisse mit Powershell auslesen

Gruß p.
heart1
Member: DerWoWusste
DerWoWusste Mar 29, 2017 at 12:10:35 (UTC)
Goto Top
Hi Pablovic.

Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, obsich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?
Member: pablovic
pablovic Mar 29, 2017 at 13:36:55 (UTC)
Goto Top
Danke für den Link, ich schätze die Scripts von Colinardo normalerweise sehr aber dieses wäre mir etwas zu viel, bzw mit Kanonen auf Spatzen geschossen, trotzdem brachte es mich etwas weiter.

Gruss P.
Member: pablovic
pablovic Mar 29, 2017 at 13:40:37 (UTC)
Goto Top
Hi DerWoWusste

Es geht mir darum herauszufinden wo die Credentials hinterlegt wurden, auch aus einem Sicherheitsgedanken.
(So quasi mit Domain Admin funktioniert die Scan to Folder Funktion) .
Zu anderen möchte ich das Passwort ändern und versuchen den Impact möglichst klein zu halten.

Gruss P.
Member: pablovic
pablovic Mar 29, 2017 updated at 13:45:35 (UTC)
Goto Top
Im Moment hab ich das so gelöst:
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='S-1-5-21-2344404026-2485544786-1835995667-500';} |   
Select-Object -Property timecreated,
@{label='IpAddress';expression={$_.properties[18].value}}

Den Wert für die properties musste ich etwas suchen aber das Skript gibt mir jetzt was ich will.

Danke
Member: DerWoWusste
DerWoWusste Mar 29, 2017 at 15:19:48 (UTC)
Goto Top
Ok, Du musst die Verwendung von Domänenadmins für lokale Funktionen wie Dienste oder geplante Tasks dringend loswerden - das ist zu gefährlich. Zum Aufspüren würde ich nicht am DC monitoren, sondern Skripte oder Tools nehmen, wie den Service Credentials Manager: http://www.cjwdev.com/Software/ServiceCredMan/Download.html
heart1
GermansolvedQuestionBatch, ShellDevelopment
Hotly discussed
DaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment