4
Windows Security Einbruchsversuche erkennen
Hallo ,
welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?
Ich nutzte hauptsaechlich die Powershell mit z.B folgenden Befehl:
get-eventlog -logname security -entrytype failureaudit
womit ich mir Falschanmeldung aus den eventlogs ziehe, aber was ist mit den "verbotenen" erfolgreichen Versuchen ?
Weiterhin nutze ich processexplorer um nach versteckten Processen zu suchen.
Nutzt Ihr Softwarewhitelisting ?
Da ich eher ein Linuxfraggel bin ( sing und schwing das Bein lass die Sorgen Sorgen sein
)
mich aber mehr und mehr um Winbloed Server kuemmern "darf" bin ich sehr an eine Verbesserung meines
Mausschubserverstandes interessiert.
danke
Gruss
welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?
Ich nutzte hauptsaechlich die Powershell mit z.B folgenden Befehl:
get-eventlog -logname security -entrytype failureaudit
womit ich mir Falschanmeldung aus den eventlogs ziehe, aber was ist mit den "verbotenen" erfolgreichen Versuchen ?
Weiterhin nutze ich processexplorer um nach versteckten Processen zu suchen.
Nutzt Ihr Softwarewhitelisting ?
Da ich eher ein Linuxfraggel bin ( sing und schwing das Bein lass die Sorgen Sorgen sein
)mich aber mehr und mehr um Winbloed Server kuemmern "darf" bin ich sehr an eine Verbesserung meines
Mausschubserverstandes interessiert.
danke
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282156
Url: https://administrator.de/contentid/282156
Printed on: April 23, 2024 at 10:04 o'clock
4 Comments
Latest comment
Hi.
Der einzig sinnvolle Ansatz ist, alle autorisierten"Aktionen" zu verzeichnen und mit den tatsächlich stattgefundenen Aktionen zu vergleichen: Anmeldungen, Kontenaktionen, Dateizugriffe.
Alles andere ist bloß präventiv.
Der einzig sinnvolle Ansatz ist, alle autorisierten"Aktionen" zu verzeichnen und mit den tatsächlich stattgefundenen Aktionen zu vergleichen: Anmeldungen, Kontenaktionen, Dateizugriffe.
Alles andere ist bloß präventiv.
Hallo,
Snort Netzwerk basierend und OSSec Host basierend.
Fakt ist doch wenn jemand auf dem Server gewesen ist das er meist versucht, zum Schluss alle
Logfiles und Einträge seiner Anwesenheit zu löschen! Es sein denn man schreibt diese Logfiles
alle auf einen Logfileserver oder aber hat ein Monitoring wie PRTG oder Nagios dass so etwas mit
aufzeichnet.
Gruß
Dobby
Snort Netzwerk basierend und OSSec Host basierend.
Fakt ist doch wenn jemand auf dem Server gewesen ist das er meist versucht, zum Schluss alle
Logfiles und Einträge seiner Anwesenheit zu löschen! Es sein denn man schreibt diese Logfiles
alle auf einen Logfileserver oder aber hat ein Monitoring wie PRTG oder Nagios dass so etwas mit
aufzeichnet.
Gruß
Dobby
Hallo ,
erstmal Danke an euch Beiden,
Netzwerk technisch haben wir IDS/IPS am start da sind wir gut aufgestellt.
Nagios zur Serverservice Überwachung.
Vielleicht war die Fragestellung nicht genau genug, es geht mir auch darum die Windowsserver abzuhärten.
Wo Dobby natürlich recht hat ist das der Angreifer seine Spuren verwischen wird wenn er entsprechende Kenntnisse hat.
Lohnt sich Softwarewhitlisting ?
Gruss
Alchimedes
erstmal Danke an euch Beiden,
Netzwerk technisch haben wir IDS/IPS am start da sind wir gut aufgestellt.
Nagios zur Serverservice Überwachung.
welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?
Vielleicht war die Fragestellung nicht genau genug, es geht mir auch darum die Windowsserver abzuhärten.
Wo Dobby natürlich recht hat ist das der Angreifer seine Spuren verwischen wird wenn er entsprechende Kenntnisse hat.
Lohnt sich Softwarewhitlisting ?
Gruss
Alchimedes
Softwarewhitelisting lohnt sich auf jeden Fall, gerade bei Servern, wo die Anzahl eingesetzter Software doch meist überschaubar ist. Applocker gehört schon zur Server-Standardedition seit Server 2008 R2.
