michael-itler
Goto Top

Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen

Hallo an alle,

in der "Microsoft Security Baseline" für Windows Server ist folgende Einstellung enthalten:

Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Administratoren: Remotezugriff: Zulassen (entspricht "O:BAG:BADface-sadA;;RC;;;BA)")

Diese Einstellung ist an einem Domain-Controller aktiv und steht auf dem Modus „Nur überwachen“
Siehe auch hier die offizielle Erklärung von Microsoft
https://learn.microsoft.com/de-de/security/zero-trust/deploy/networks

Ich habe nun im Ereignisprotkoll vom genannten DC viele Einträge ID 16968
Der Modus „Nur überwachen“ unterstützt derzeit Remoteaufrufe an die SAM-Datenbank.%n Dem folgenden Client würde normalerweise der Zugriff verweigert: % nClient-SID: %1, von Netzwerkadresse: %2. %n“
%1- „Client-SID:“
%2- „Clientnetzwerkzugriff“

Die Clientzugriffe kommen von diversen, unterschiedlichen und einer Vielzahl an Clients. Ich habe daher nicht darauf zurück schließen welcher Prozess hier genau auf die SAM-Datenbank zugreift.
Wenn ich nun die Empfehlung von Microsoft umsetze und den Modus auf "nur Mitgliedern der lokalen (integrierten) Administratorgruppe RC-Zugriff gewähren" ändere befürchte ich, das es große Auswirkungen auf unsere Systeme hat.

Daher nochmal die Frage: Wie kann ich feststellen welcher Prozess am Client die Abfrage auf die SAM-Datenbank ausführt.

Danke

Content-ID: 6944136133

Url: https://administrator.de/forum/clients-einschraenken-die-remoteaufrufe-an-sam-ausfuehren-duerfen-6944136133.html

Ausgedruckt am: 25.12.2024 um 12:12 Uhr

BPeter
BPeter 28.09.2023 um 13:09:17 Uhr
Goto Top
Hallo Michael,
an dieser Frage stehe ich momentan auch. Hast du eine Lösung dafür?

Grüße