Client von wo aus sich jemand an der Domäne authentifiziert loggen

Hallo Admins

Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.

Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.

Get-EventLog -LogName Security -InstanceId 4624 -Newest 1

Hiebei wäre es interessant, was mir Get-Eventlog zurückgibt, bzw wie finde ich hereaus, was ich "selecten" kann? Also wie gehe ich vor um zu schauen was es hier gibt.

Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.

Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='Administrator'} |  
Select-Object -Property timecreated,
@{label='username';expression={$_.properties.value}},  
@{label='computername';expression={$_.properties[1].value}}  

Hier habe ich generell ein wenig verständnisprobleme.

Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?

Danke und Gruss
P.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 333521

Url: https://administrator.de/contentid/333521

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

6 Kommentare

Neuester Kommentar

An- und Abmelde Ereignisse mit Powershell auslesen

Gruß p.

Hi Pablovic.

Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, obsich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?

Danke für den Link, ich schätze die Scripts von Colinardo normalerweise sehr aber dieses wäre mir etwas zu viel, bzw mit Kanonen auf Spatzen geschossen, trotzdem brachte es mich etwas weiter.

Gruss P.

Hi DerWoWusste

Es geht mir darum herauszufinden wo die Credentials hinterlegt wurden, auch aus einem Sicherheitsgedanken.
(So quasi mit Domain Admin funktioniert die Scan to Folder Funktion) .
Zu anderen möchte ich das Passwort ändern und versuchen den Impact möglichst klein zu halten.

Gruss P.

Im Moment hab ich das so gelöst:

Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='S-1-5-21-2344404026-2485544786-1835995667-500';} |   
Select-Object -Property timecreated,
@{label='IpAddress';expression={$_.properties[18].value}}  

Den Wert für die properties musste ich etwas suchen aber das Skript gibt mir jetzt was ich will.

Danke

Ok, Du musst die Verwendung von Domänenadmins für lokale Funktionen wie Dienste oder geplante Tasks dringend loswerden - das ist zu gefährlich. Zum Aufspüren würde ich nicht am DC monitoren, sondern Skripte oder Tools nehmen, wie den Service Credentials Manager: http://www.cjwdev.com/Software/ServiceCredMan/Download.html

gelöst Frage Entwicklung Batch, Shell

Mehr von pablovic

Spanning Tree Packete verwerfen am Switchpablovic - 8 Kommentare

Netzwerkauslastung NIC für eine Wochepablovic - 3 Kommentare

Sachbuch durcharbeitenpablovic - 11 Kommentare

C++ andere EXE aufrufen, Probleme mit Leerzeichen im Pfadpablovic - 14 Kommentare

Heiß diskutiert