alchimedes
Goto Top

Windows Security Einbruchsversuche erkennen

Hallo ,

welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?

Ich nutzte hauptsaechlich die Powershell mit z.B folgenden Befehl:

get-eventlog -logname security -entrytype failureaudit

womit ich mir Falschanmeldung aus den eventlogs ziehe, aber was ist mit den "verbotenen" erfolgreichen Versuchen ?
Weiterhin nutze ich processexplorer um nach versteckten Processen zu suchen.

Nutzt Ihr Softwarewhitelisting ?

Da ich eher ein Linuxfraggel bin ( sing und schwing das Bein lass die Sorgen Sorgen sein face-smile )
mich aber mehr und mehr um Winbloed Server kuemmern "darf" bin ich sehr an eine Verbesserung meines
Mausschubserverstandes interessiert.

danke

Gruss

Content-ID: 282156

Url: https://administrator.de/contentid/282156

Printed on: December 6, 2024 at 16:12 o'clock

DerWoWusste
Solution DerWoWusste Sep 06, 2015, updated at Sep 15, 2015 at 17:22:41 (UTC)
Goto Top
Hi.

Der einzig sinnvolle Ansatz ist, alle autorisierten"Aktionen" zu verzeichnen und mit den tatsächlich stattgefundenen Aktionen zu vergleichen: Anmeldungen, Kontenaktionen, Dateizugriffe.

Alles andere ist bloß präventiv.
108012
Solution 108012 Sep 07, 2015, updated at Sep 15, 2015 at 17:22:44 (UTC)
Goto Top
Hallo,

Snort Netzwerk basierend und OSSec Host basierend.

Fakt ist doch wenn jemand auf dem Server gewesen ist das er meist versucht, zum Schluss alle
Logfiles und Einträge seiner Anwesenheit zu löschen! Es sein denn man schreibt diese Logfiles
alle auf einen Logfileserver oder aber hat ein Monitoring wie PRTG oder Nagios dass so etwas mit
aufzeichnet.

Gruß
Dobby
Alchimedes
Alchimedes Sep 07, 2015 at 17:33:16 (UTC)
Goto Top
Hallo ,

erstmal Danke an euch Beiden,
Netzwerk technisch haben wir IDS/IPS am start da sind wir gut aufgestellt.
Nagios zur Serverservice Überwachung.

welche Tools , Software ,Richtlinien etc nutzt Ihr um Einbruchsversuche auf einem Windowsserver zu erkennen ?

Vielleicht war die Fragestellung nicht genau genug, es geht mir auch darum die Windowsserver abzuhärten.
Wo Dobby natürlich recht hat ist das der Angreifer seine Spuren verwischen wird wenn er entsprechende Kenntnisse hat.
Lohnt sich Softwarewhitlisting ?

Gruss

Alchimedes
DerWoWusste
Solution DerWoWusste Sep 07, 2015, updated at Sep 15, 2015 at 17:22:49 (UTC)
Goto Top
Softwarewhitelisting lohnt sich auf jeden Fall, gerade bei Servern, wo die Anzahl eingesetzter Software doch meist überschaubar ist. Applocker gehört schon zur Server-Standardedition seit Server 2008 R2.