Jump to content

Administratoren überwachen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebes MCSEboard,

 

wir hatten in unsere Firma einen Vorfall und zwar wurde ein Kennwort geändert und niemand war es und nun will der Vorstand das soetwas überwacht wird. Gibt es dazu ein Tool oder ist dies überhaupt möglich um zu sehen wer ein Benutzer angelegt oder geändert oder das Passwort geändert hat? Kann man soetwas überwachen? Wenn ja, wie heißt das Wunder Tool?

 

Ich habe gerade Tante Google gefragt und da fand ich die "Kontenverwaltung überwachen". Die ist bei uns auch aktiv, aber wenn ich jetzt ein Kennwort von ein Benutzer zurücksetze, dann find ich in der Ereignisanzeige unter Sichterheit aber nicht die Aktion? Oder stehen solche Aktionen wo anders?

 

Vielen Dank schon einmal.

 

 

Gruß

napst3r

Link zu diesem Kommentar

Moin,

 

man kann da natürlich schon was machen, aber am Ende wird ein Administrator immer in der Lage sein, seine Spuren sehr weitgehend zu verwischen. Schließlich ist er Administrator und kommt damit "überall" hin.

 

Die Überwachung von AD-Änderungen ist sehr weitgehend möglich, erfordert aber zur Auswertung viel Aufwand. Das liegt zum einen daran, dass sehr viele Events erzeugt werden (zu einer Aktion gehören oft zahlreiche Unter-Aktivitäten, die alle einzeln geloggt werden). Zum anderen muss man zur Auswertung alle DCs analysieren, weil AD ein verteiltes System ist. Möglicherweise werden die Daten bei euch schon aufgezeichnet und du hast nur nicht auf dem richtigen DC nachgesehen.

 

Dazu kommt aber noch, dass in den meisten Unternehmen die gesammelten Daten, selbst wenn sie vollständig sind, die Frage "wer war es?" nicht aufklären können: Erfolgen Änderungen mit einem Account, der von mehreren Personen verwendet wird, dann weiß man immer noch nicht mehr. Nach der Schilderung der Situation würde ich mal vermuten, dass das bei euch auch passieren kann ... am Ende bleibt also nur: Prozesse klären und das Design anpassen. Damit wäre das zugrunde liegende Problem (Änderung hätte so nicht erfolgen sollen) vermutlich auch schon gelöst.

 

Gruß, Nils

Link zu diesem Kommentar

Wir benutzen die ControlBox von Balabit

https://www.balabit.com/

 

Zum Einen kommt man damit nur mit "4 Augen, also 2 Admins" an einen kritischen Rechner wie einen DC heran.

Zum Anderen werden alle Aktionen revisionssicher aufgezeichnet, so dass ein Admin auch nichts manipulieren kann.

 

Unpersonalisierte Accounts für Admins gibts nicht!

 

carnivore

bearbeitet von carnivore
Link zu diesem Kommentar

Am Einfachsten sind solche Anforderungen mit 3rd Party Anbietern zu lösen. In einer wachsenden Struktur kommt man schnell an die Grenzen der Nachverfolgbarkeit mit Boardmitteln.
Lösungen wie z.B.  8Man können hier helfen, sind jedoch nicht ganz billig. Der Mehrwert ist allerdings klar gegeben, da neben der Protokollierungen und des Reportings auch komplette Abläufe definiert werden können.

 

Ansonsten ist die Definition von Abläufen und eine hohe Selbstdisziplin der wohl Einzige Weg ;).

 

Greetings Ralf

Link zu diesem Kommentar

auch komplette Abläufe definiert werden können.

Streiche "können" setze "müssen". Ansonsten gibt's nur Grütze. Das haben die oben ja auch schon oben erwähnt. wink.gif

 

Ansonsten ist die Definition von Abläufen und eine hohe Selbstdisziplin der wohl Einzige Weg wink.gif.

Genau. Und dann ist 3rd Party nur noch Hilfsmittel und nicht Lösung. wink.gif

 

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

hm, warum habe ich mir sowas gedacht? clap.gif

 

Dann seid ihr ein klassischer Fall, in dem Überwachung auf der Ebene nichts bringt. Damit sind auch die diversen Tools, die hier genannt wurden, völlig voreilig in die Runde geworfen. Wie du schon richtig erkennst, müsst ihr erst mal Prozesse einziehen und euer Design daraufhin anpassen.

 

Dass jeder Administrator ein eigenes Admin-Konto erhält, ist da nur ein Schritt, wenn auch ein wichtiger. Alles Weitere hängt von den Anforderungen und Gegebenheiten ab. Es kann durchaus sinnvoll sein, sich da kompetent beraten zu lassen.

 

Gruß, Nils

Link zu diesem Kommentar

Das Problem ist das wir nur ein Admin Konto haben und dieser wird von 3 Personen verwendet.

 

Hä? :suspect:

 

 

 

... dann find ich in der Ereignisanzeige unter Sichterheit aber nicht die Aktion? Oder stehen solche Aktionen wo anders?

 

Was hätte dir es denn gebracht, wenn es funktioniert hätte? Dann hätte im Eventlog gestanden, dass "Administrator" das Kennwort zurück gesetzt hätte.

 

 

Erst denken, dann schreiben! ;)

Link zu diesem Kommentar

Gibt es dazu eine Art Vorlage die wir verwenden können z.B. ein Beispiel Design? Weil ich kann damit jetzt erst einmal noch nichts anfangen.

Das Problem bei uns ist auch das jeder die gleiche Rechte hat. Jeder macht alles. Es ist nicht einer für das Zuständig under andere für das andere.

 

Wenn jetzt jeder ein eigenes Admin Konto hat, macht doch die Überwachung Sinn, weil dann sieht man ja wer was gemacht hat.

Link zu diesem Kommentar

Sehe ich auch so. Aber die Vorstand will das dies ab sofort Überwacht wird. Deswegen brauchen wir ein Tool.

Liest du eigentlich, was man dir antwortet?

Ein Tool ist nicht das, was ihr braucht, sondern ihr braucht geregelte Vorgänge für sowas. Und das geht nicht von jetzt auf gleich. und wenn die Vorstand sich das noch so sehr wünscht.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...