Jump to content
bender-1969

EMail Benachrichtigung bei Domain Admin Login

Recommended Posts

Salut Zusammen


Wir haben mehrere Domänencontroller unter Win Srv 2016 und mehrere Kollegen, welche ein Benutzerkonto mit 
Domain Admin Berechtigungen haben.

Wir würden gerne konfigurieren, dass der Kontoinhaber eine Mail erhält, dass sein Domain Admin Konto benutzt
wird.
Dies für z.B. den Fall, dass die Credentials kompromittiert wurden.

An sich sollte man das über SCOM machen können, aber wie schaut das bei mehreren DC's aus ?

Gäbe es eine alternative Methode, um das zu erreichen ? Wäre für Tips dankbar...

Gruss Bender

Share this post


Link to post
Share on other sites

Moin,

 

klingt krude ... wenn tatsächlich ein Account dieser Klasse kompromittiert wird, wird ein Angreifer als erstes solche Überwachungsmechanismen abschalten. Das spricht nicht grundsätzlich dagegen, auf Basis der Security-Logs zu überwachen, aber eine Mail scheint mir kein geeignetes Mittel zu sein. Und versprechen würde ich mir davon keinen ernsthaften Sicherheitsgewinn. Vor allem vor dem Hintergrund, dass der typische Angriff auf Konten dieser Art ohne ein Logon-Ereignis bei einem DC auskommt, weil er Cached Credentials verwendet. Von da aus geht es dann z.B. mit Silver Tickets oder Golden Tickets weiter, und von denen bekommt eine Überwachung dann gar nichts mehr mit.

 

Bevor ich also Energie in sowas stecken würde, würde ich auf anderen Ebenen Lücken schließen. Da wird es genügend geben.

 

Gruß, Nils

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Und da hast du Recht, der Chef hat sich das einfallen lassen. Das aber ist ein anderes Thema.

 

Viele Dienste oder Lösungen haben ja mittlerweile so eine Mailbenachrichtigung, das war die 

Inspiration;-)

 

Die Frage ist eben wie man das löst ohne Login Scripte zu pflegen und das möglichst via SCOM

zu machen  

Share this post


Link to post
Share on other sites

Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. :-)

SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen.

Share this post


Link to post
Share on other sites

Lass mich raten: Das Ansinnen kommt aus der Linux-Ecke, dort ist das üblich für SSH-Logins...

Share this post


Link to post
Share on other sites

Für die TISAX Zertifizierung ist ein Logging von sicherheitsrelevanten Administratortätigkeiten ein MUSS-Kriterium. Ist das nicht umgesetzt ergibt das eine Hauptabweichung und das Audit ist nicht bestanden.

Share this post


Link to post
Share on other sites

Moin, 

das Thema interessiert mich auch :-) wie ist das ausgegangen?

 

Im übrigen nützt das alles nix, wenn die Angreifer nachts um 01:30 sich Einwählen und mit deren Fisimatenten starten, während Admin und Chefs schon lange schlafen.

So wars in meinem letzten Fall, und ruck zuck war der Server verschlüsselt. 

Share this post


Link to post
Share on other sites

@Robdust

Da hilft ein Privileged Access Management Tool (PAM) wie CyberArk oder Thycotics (IBM). Jeder privilegierte Account (egal ob im AD/ Local/ Linux) bekommt nach der Nutzung automatisiert ein neues Password verpasst. Jeder lokaler Account hat ein unterschiedliches Passwort. Und noch einige weitere Features. 

 

Edited by SandyB

Share this post


Link to post
Share on other sites

Sieht sehr interessant aus. hab auch von sowas noch nie gehört. Und ist eigentlich einfach aber genial :-)

 

Was Kost n sowas? Konnte keine Preise rausfinden .

Share this post


Link to post
Share on other sites

@Rob

Preise wird dir kein Hersteller einfach nennen. Wir reden über kein simples Computerspiel zum Download, sondern PAM ist ein erheblicher Eingriff in die Infrastrukur und die administrativen Prozesse deiner Firma.

 

Wenn du Interesse an der Materie hast, schau dir als Einstieg die Studie von Forrester Wave an

https://www.centrify.com/media/4908806/forrester_wave_pim_q4_2018.pdf

 

Dann geht zu einem Systemhaus, das Erfahrung mit PAM-Solutions hat, lasst euch beraten und ein Angebot mit euren Anforderungen erstellen. Die großen Häuser wie Accenture, Avanade, NTT oder Atos haben 100% sicher erfahrene PAM-Spezialisten im Haus, Aber auch kleinere Häuser werden sich dem derzeitigen PAM-Boom nicht entziehen wollen. 

 

@Dukel

Danke für den Link. 

Edited by SandyB

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...