pablovic
Goto Top

Client von wo aus sich jemand an der Domäne authentifiziert loggen

Hallo Admins

Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.

Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.
Get-EventLog -LogName Security -InstanceId 4624 -Newest 1
Hiebei wäre es interessant, was mir Get-Eventlog zurückgibt, bzw wie finde ich hereaus, was ich "selecten" kann? Also wie gehe ich vor um zu schauen was es hier gibt.

Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='Administrator'} |  
Select-Object -Property timecreated,
@{label='username';expression={$_.properties.value}},  
@{label='computername';expression={$_.properties[1].value}}  
Hier habe ich generell ein wenig verständnisprobleme.

Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?

Danke und Gruss
P.

Content-ID: 333521

Url: https://administrator.de/forum/client-von-wo-aus-sich-jemand-an-der-domaene-authentifiziert-loggen-333521.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

132692
132692 29.03.2017 um 10:24:35 Uhr
Goto Top
DerWoWusste
DerWoWusste 29.03.2017 um 14:10:35 Uhr
Goto Top
Hi Pablovic.

Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, obsich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?
pablovic
pablovic 29.03.2017 um 15:36:55 Uhr
Goto Top
Danke für den Link, ich schätze die Scripts von Colinardo normalerweise sehr aber dieses wäre mir etwas zu viel, bzw mit Kanonen auf Spatzen geschossen, trotzdem brachte es mich etwas weiter.

Gruss P.
pablovic
pablovic 29.03.2017 um 15:40:37 Uhr
Goto Top
Hi DerWoWusste

Es geht mir darum herauszufinden wo die Credentials hinterlegt wurden, auch aus einem Sicherheitsgedanken.
(So quasi mit Domain Admin funktioniert die Scan to Folder Funktion) .
Zu anderen möchte ich das Passwort ändern und versuchen den Impact möglichst klein zu halten.

Gruss P.
pablovic
pablovic 29.03.2017 aktualisiert um 15:45:35 Uhr
Goto Top
Im Moment hab ich das so gelöst:
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='S-1-5-21-2344404026-2485544786-1835995667-500';} |   
Select-Object -Property timecreated,
@{label='IpAddress';expression={$_.properties[18].value}}  

Den Wert für die properties musste ich etwas suchen aber das Skript gibt mir jetzt was ich will.

Danke
DerWoWusste
DerWoWusste 29.03.2017 um 17:19:48 Uhr
Goto Top
Ok, Du musst die Verwendung von Domänenadmins für lokale Funktionen wie Dienste oder geplante Tasks dringend loswerden - das ist zu gefährlich. Zum Aufspüren würde ich nicht am DC monitoren, sondern Skripte oder Tools nehmen, wie den Service Credentials Manager: http://www.cjwdev.com/Software/ServiceCredMan/Download.html