1
Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Hallo an alle,
in der "Microsoft Security Baseline" für Windows Server ist folgende Einstellung enthalten:
Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Administratoren: Remotezugriff: Zulassen (entspricht "O:BAG:BAD
A;;RC;;;BA)")
Diese Einstellung ist an einem Domain-Controller aktiv und steht auf dem Modus „Nur überwachen“
Siehe auch hier die offizielle Erklärung von Microsoft
https://learn.microsoft.com/de-de/security/zero-trust/deploy/networks
Ich habe nun im Ereignisprotkoll vom genannten DC viele Einträge ID 16968
Der Modus „Nur überwachen“ unterstützt derzeit Remoteaufrufe an die SAM-Datenbank.%n Dem folgenden Client würde normalerweise der Zugriff verweigert: % nClient-SID: %1, von Netzwerkadresse: %2. %n“
%1- „Client-SID:“
%2- „Clientnetzwerkzugriff“
Die Clientzugriffe kommen von diversen, unterschiedlichen und einer Vielzahl an Clients. Ich habe daher nicht darauf zurück schließen welcher Prozess hier genau auf die SAM-Datenbank zugreift.
Wenn ich nun die Empfehlung von Microsoft umsetze und den Modus auf "nur Mitgliedern der lokalen (integrierten) Administratorgruppe RC-Zugriff gewähren" ändere befürchte ich, das es große Auswirkungen auf unsere Systeme hat.
Daher nochmal die Frage: Wie kann ich feststellen welcher Prozess am Client die Abfrage auf die SAM-Datenbank ausführt.
Danke
in der "Microsoft Security Baseline" für Windows Server ist folgende Einstellung enthalten:
Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Administratoren: Remotezugriff: Zulassen (entspricht "O:BAG:BAD
A;;RC;;;BA)")Diese Einstellung ist an einem Domain-Controller aktiv und steht auf dem Modus „Nur überwachen“
Siehe auch hier die offizielle Erklärung von Microsoft
https://learn.microsoft.com/de-de/security/zero-trust/deploy/networks
Ich habe nun im Ereignisprotkoll vom genannten DC viele Einträge ID 16968
Der Modus „Nur überwachen“ unterstützt derzeit Remoteaufrufe an die SAM-Datenbank.%n Dem folgenden Client würde normalerweise der Zugriff verweigert: % nClient-SID: %1, von Netzwerkadresse: %2. %n“
%1- „Client-SID:“
%2- „Clientnetzwerkzugriff“
Die Clientzugriffe kommen von diversen, unterschiedlichen und einer Vielzahl an Clients. Ich habe daher nicht darauf zurück schließen welcher Prozess hier genau auf die SAM-Datenbank zugreift.
Wenn ich nun die Empfehlung von Microsoft umsetze und den Modus auf "nur Mitgliedern der lokalen (integrierten) Administratorgruppe RC-Zugriff gewähren" ändere befürchte ich, das es große Auswirkungen auf unsere Systeme hat.
Daher nochmal die Frage: Wie kann ich feststellen welcher Prozess am Client die Abfrage auf die SAM-Datenbank ausführt.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6944136133
Url: https://administrator.de/contentid/6944136133
Printed on: April 27, 2024 at 05:04 o'clock
1 Comment
Hallo Michael,
an dieser Frage stehe ich momentan auch. Hast du eine Lösung dafür?
Grüße
an dieser Frage stehe ich momentan auch. Hast du eine Lösung dafür?
Grüße