Windows Security Einbruchsversuche erkennen
Hallo ,
welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?
Ich nutzte hauptsaechlich die Powershell mit z.B folgenden Befehl:
get-eventlog -logname security -entrytype failureaudit
womit ich mir Falschanmeldung aus den eventlogs ziehe, aber was ist mit den "verbotenen" erfolgreichen Versuchen ?
Weiterhin nutze ich processexplorer um nach versteckten Processen zu suchen.
Nutzt Ihr Softwarewhitelisting ?
Da ich eher ein Linuxfraggel bin ( sing und schwing das Bein lass die Sorgen Sorgen sein )
mich aber mehr und mehr um Winbloed Server kuemmern "darf" bin ich sehr an eine Verbesserung meines
Mausschubserverstandes interessiert.
danke
Gruss
welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?
Ich nutzte hauptsaechlich die Powershell mit z.B folgenden Befehl:
get-eventlog -logname security -entrytype failureaudit
womit ich mir Falschanmeldung aus den eventlogs ziehe, aber was ist mit den "verbotenen" erfolgreichen Versuchen ?
Weiterhin nutze ich processexplorer um nach versteckten Processen zu suchen.
Nutzt Ihr Softwarewhitelisting ?
Da ich eher ein Linuxfraggel bin ( sing und schwing das Bein lass die Sorgen Sorgen sein )
mich aber mehr und mehr um Winbloed Server kuemmern "darf" bin ich sehr an eine Verbesserung meines
Mausschubserverstandes interessiert.
danke
Gruss
Please also mark the comments that contributed to the solution of the article
Content-ID: 282156
Url: https://administrator.de/contentid/282156
Printed on: December 6, 2024 at 16:12 o'clock
4 Comments
Latest comment
Hallo,
Snort Netzwerk basierend und OSSec Host basierend.
Fakt ist doch wenn jemand auf dem Server gewesen ist das er meist versucht, zum Schluss alle
Logfiles und Einträge seiner Anwesenheit zu löschen! Es sein denn man schreibt diese Logfiles
alle auf einen Logfileserver oder aber hat ein Monitoring wie PRTG oder Nagios dass so etwas mit
aufzeichnet.
Gruß
Dobby
Snort Netzwerk basierend und OSSec Host basierend.
Fakt ist doch wenn jemand auf dem Server gewesen ist das er meist versucht, zum Schluss alle
Logfiles und Einträge seiner Anwesenheit zu löschen! Es sein denn man schreibt diese Logfiles
alle auf einen Logfileserver oder aber hat ein Monitoring wie PRTG oder Nagios dass so etwas mit
aufzeichnet.
Gruß
Dobby