Jump to content
bender-1969

EMail Benachrichtigung bei Domain Admin Login

Recommended Posts

Salut Zusammen


Wir haben mehrere Domänencontroller unter Win Srv 2016 und mehrere Kollegen, welche ein Benutzerkonto mit 
Domain Admin Berechtigungen haben.

Wir würden gerne konfigurieren, dass der Kontoinhaber eine Mail erhält, dass sein Domain Admin Konto benutzt
wird.
Dies für z.B. den Fall, dass die Credentials kompromittiert wurden.

An sich sollte man das über SCOM machen können, aber wie schaut das bei mehreren DC's aus ?

Gäbe es eine alternative Methode, um das zu erreichen ? Wäre für Tips dankbar...

Gruss Bender

Share this post


Link to post
Share on other sites

Hi,

 

Logon Audit für die DCs aktivieren und eine E-Mail-Benachrichtung an das / die passende(n) Event(s) hängen.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Moin,

 

klingt krude ... wenn tatsächlich ein Account dieser Klasse kompromittiert wird, wird ein Angreifer als erstes solche Überwachungsmechanismen abschalten. Das spricht nicht grundsätzlich dagegen, auf Basis der Security-Logs zu überwachen, aber eine Mail scheint mir kein geeignetes Mittel zu sein. Und versprechen würde ich mir davon keinen ernsthaften Sicherheitsgewinn. Vor allem vor dem Hintergrund, dass der typische Angriff auf Konten dieser Art ohne ein Logon-Ereignis bei einem DC auskommt, weil er Cached Credentials verwendet. Von da aus geht es dann z.B. mit Silver Tickets oder Golden Tickets weiter, und von denen bekommt eine Überwachung dann gar nichts mehr mit.

 

Bevor ich also Energie in sowas stecken würde, würde ich auf anderen Ebenen Lücken schließen. Da wird es genügend geben.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Und da hast du Recht, der Chef hat sich das einfallen lassen. Das aber ist ein anderes Thema.

 

Viele Dienste oder Lösungen haben ja mittlerweile so eine Mailbenachrichtigung, das war die 

Inspiration;-)

 

Die Frage ist eben wie man das löst ohne Login Scripte zu pflegen und das möglichst via SCOM

zu machen  

Share this post


Link to post
Share on other sites

Mit Auditing (Logon Events) und einem Task, der darauf triggert. Steht schon oben. :-)

SCOM kann diese Events auch auswerten, das mußt aber m.W. von Hand bauen.

Share this post


Link to post
Share on other sites

Lass mich raten: Das Ansinnen kommt aus der Linux-Ecke, dort ist das üblich für SSH-Logins...

Share this post


Link to post
Share on other sites

Für die TISAX Zertifizierung ist ein Logging von sicherheitsrelevanten Administratortätigkeiten ein MUSS-Kriterium. Ist das nicht umgesetzt ergibt das eine Hauptabweichung und das Audit ist nicht bestanden.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...