bender-1969 0 Geschrieben 11. April 2019 Melden Geschrieben 11. April 2019 Salut ZusammenWir haben mehrere Domänencontroller unter Win Srv 2016 und mehrere Kollegen, welche ein Benutzerkonto mit Domain Admin Berechtigungen haben.Wir würden gerne konfigurieren, dass der Kontoinhaber eine Mail erhält, dass sein Domain Admin Konto benutztwird.Dies für z.B. den Fall, dass die Credentials kompromittiert wurden.An sich sollte man das über SCOM machen können, aber wie schaut das bei mehreren DC's aus ?Gäbe es eine alternative Methode, um das zu erreichen ? Wäre für Tips dankbar...Gruss Bender
testperson 1.857 Geschrieben 11. April 2019 Melden Geschrieben 11. April 2019 Hi, Logon Audit für die DCs aktivieren und eine E-Mail-Benachrichtung an das / die passende(n) Event(s) hängen. Gruß Jan 1
NilsK 3.045 Geschrieben 11. April 2019 Melden Geschrieben 11. April 2019 Moin, klingt krude ... wenn tatsächlich ein Account dieser Klasse kompromittiert wird, wird ein Angreifer als erstes solche Überwachungsmechanismen abschalten. Das spricht nicht grundsätzlich dagegen, auf Basis der Security-Logs zu überwachen, aber eine Mail scheint mir kein geeignetes Mittel zu sein. Und versprechen würde ich mir davon keinen ernsthaften Sicherheitsgewinn. Vor allem vor dem Hintergrund, dass der typische Angriff auf Konten dieser Art ohne ein Logon-Ereignis bei einem DC auskommt, weil er Cached Credentials verwendet. Von da aus geht es dann z.B. mit Silver Tickets oder Golden Tickets weiter, und von denen bekommt eine Überwachung dann gar nichts mehr mit. Bevor ich also Energie in sowas stecken würde, würde ich auf anderen Ebenen Lücken schließen. Da wird es genügend geben. Gruß, Nils 1
bender-1969 0 Geschrieben 11. April 2019 Autor Melden Geschrieben 11. April 2019 Und da hast du Recht, der Chef hat sich das einfallen lassen. Das aber ist ein anderes Thema. Viele Dienste oder Lösungen haben ja mittlerweile so eine Mailbenachrichtigung, das war die Inspiration Die Frage ist eben wie man das löst ohne Login Scripte zu pflegen und das möglichst via SCOM zu machen
daabm 1.428 Geschrieben 11. April 2019 Melden Geschrieben 11. April 2019 Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen.
Lian 2.658 Geschrieben 15. April 2019 Melden Geschrieben 15. April 2019 Lass mich raten: Das Ansinnen kommt aus der Linux-Ecke, dort ist das üblich für SSH-Logins...
theonlybrand 0 Geschrieben 18. April 2019 Melden Geschrieben 18. April 2019 Für die TISAX Zertifizierung ist ein Logging von sicherheitsrelevanten Administratortätigkeiten ein MUSS-Kriterium. Ist das nicht umgesetzt ergibt das eine Hauptabweichung und das Audit ist nicht bestanden.
NorbertFe 2.277 Geschrieben 18. April 2019 Melden Geschrieben 18. April 2019 Und? Das logging und eine emailbenachrichtigung sind ja wohl unterschiedliche Dinge. 1
RobDust 11 Geschrieben 4. September 2019 Melden Geschrieben 4. September 2019 Moin, das Thema interessiert mich auch wie ist das ausgegangen? Im übrigen nützt das alles nix, wenn die Angreifer nachts um 01:30 sich Einwählen und mit deren Fisimatenten starten, während Admin und Chefs schon lange schlafen. So wars in meinem letzten Fall, und ruck zuck war der Server verschlüsselt.
SandyB 9 Geschrieben 6. September 2019 Melden Geschrieben 6. September 2019 (bearbeitet) @Robdust Da hilft ein Privileged Access Management Tool (PAM) wie CyberArk oder Thycotics (IBM). Jeder privilegierte Account (egal ob im AD/ Local/ Linux) bekommt nach der Nutzung automatisiert ein neues Password verpasst. Jeder lokaler Account hat ein unterschiedliches Passwort. Und noch einige weitere Features. bearbeitet 6. September 2019 von SandyB
RobDust 11 Geschrieben 7. September 2019 Melden Geschrieben 7. September 2019 Sieht sehr interessant aus. hab auch von sowas noch nie gehört. Und ist eigentlich einfach aber genial Was Kost n sowas? Konnte keine Preise rausfinden .
Dukel 468 Geschrieben 7. September 2019 Melden Geschrieben 7. September 2019 https://www.heise.de/select/ix/2019/8/1915607374228700912 Preise fragt man bei den Herstellern direkt ab.
SandyB 9 Geschrieben 7. September 2019 Melden Geschrieben 7. September 2019 (bearbeitet) @Rob Preise wird dir kein Hersteller einfach nennen. Wir reden über kein simples Computerspiel zum Download, sondern PAM ist ein erheblicher Eingriff in die Infrastrukur und die administrativen Prozesse deiner Firma. Wenn du Interesse an der Materie hast, schau dir als Einstieg die Studie von Forrester Wave an https://www.centrify.com/media/4908806/forrester_wave_pim_q4_2018.pdf Dann geht zu einem Systemhaus, das Erfahrung mit PAM-Solutions hat, lasst euch beraten und ein Angebot mit euren Anforderungen erstellen. Die großen Häuser wie Accenture, Avanade, NTT oder Atos haben 100% sicher erfahrene PAM-Spezialisten im Haus, Aber auch kleinere Häuser werden sich dem derzeitigen PAM-Boom nicht entziehen wollen. @Dukel Danke für den Link. bearbeitet 7. September 2019 von SandyB
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden