Jump to content
kaineanung

In der Ereignisanzeige/Sicherheit einen Logineintrag erzwingen?

Recommended Posts

Hallo Leute,

 

ich frage mich gerade ob es möglich ist einen Eintrag in der DC-Ereignisanzeige (Sicherheit) einen Login-Eintrag mit angemeldetem User zu erzwingen?

Unsere Firewall benutzt diese LOG-Datei um zu ermittelt welcher Benutzer sich zuletzt an welche IP-Adresse angemeldet hat damit die Benutzer von der FW identifiziert werden können.

Wir benutzen noch ein LOGON-BAT welche gegen Ende noch ein RunAs benutzt um als Administrator diverese Operationen auszuführen.

Dies verfälscht natürlich das LOG und da würde ich gerne noch irgendwas dahinter setzen welches den letzten LOG-Eintrag wieder auf den aktuell angemeldeten User setzt.

 

Wenn ich manuell im Windows-Explorer auf den Fileserver zugreife (auf eine berechtigte Freigabe -> also ohne Anmeldeinformationen eingeben zu müssen) wird ein Eintrag in der LOG hinzugefügt mit dem angemeldeten USer.

Was könnte ich in der LOGON-BAT machen damit ich diesen gleichen Effekt bekomme?

Ich könnte wahrscheinlich Laufwerksmapping machen auf eine Freigabe die für alle Mitarbeiter zugänglich ist. Aber gibt es auch einfachere Wege oder ein Befehl oder irgendwas welches das Gleiche auslöst?

 

Share this post


Link to post
Share on other sites

Das geht ganz einfach mittels Powershell.

 

Zuerst ein neues Event Log erzeugen

New-EventLog -LogName Application -Source "MeineAnwendung"

Geschrieben wird mittels:

Write-EventLog  -LogName "Application" -Source "MeineAnwendung" -EventID 9999 -Message "Hier die Message für das EventLog"

Ggf. Write-eventlog um den Eintrag -computername ergänzen.

 

 

Share this post


Link to post
Share on other sites

Da steht 'requires administrator rights'.

b***d: wenn ich das als RunAs Administrator mache dann habe ich wieder den falschen User in der Logdatei.

 

Gibt es irgendein kurzen 'Pfusch' den ich machen kann?

Share this post


Link to post
Share on other sites

@Dukel

 

LOGON-BAT wird in 6-8 Wochen abgeschafft. Arbeiten hier noch mit einem alten W2K3-Server als DC.

Habe schon fast alles in GPO transferiert und werde es dann nur noch auf die DC ausrollen. LOGON-BAT Ciaos....

 

Aber bis dahin brauche ich den letzten Sicherheits-LOG-Eintrag des angemeldeten Users und nicht des Administrators.

Und da ich in der LOGON-BAT auch SPC-Dateien (verschlüsseltes 'runas') als Administrator ausführe, wird dieser als letzter Benutzer in die LOG-Datei eingetragen.

 

Meine Idee war: ich mache lediglich ein Pseudo-Zugriff auf eine Freigabe in der LOGIN-Datei am Ende mit einem Zeitverzug von 2 Sekunden.

Also einfach

\\server-blabla\Freigabename$

 

Aber ich erhalte in der LOG-Datei Administrator als auch Testuser haben den gleichen Zeitstempel auch wenn ich eine Verzögerung einbaue?!?

 

Das Ende der LOGON-Batch sieht so aus:

\\server-blabla\firma$\PUBLIC\Admin\script\runasspc\runasspc.exe /cryptfile:"\\server-blabla\firma$\PUBLIC\Admin\script\del_files.spc" /quiet

:ende

@ping localhost -n 2 > NUL
::@timeout /T 2

\\server-blabla\Freigabename$

Statt des Pings habe ich auch mal timeout genutzt (soll ab Vista ja funktionieren... habe fast keine XPs mehr in der Firma (1-2 Sonder-Clients noch mit XP).

Auch habe ich beides drinnen gelassen. Es funktioniert nicht bzw. die Zeitstempel der Security-LOG-Einträge sind identisch bis auf die Sekunde.

Daher vermute ich jetzt das der alleinige Zugriff auf den Share des DC nicht als Anmeldung zählt....

Ich brauche hier was anderes...

Share this post


Link to post
Share on other sites

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung :-) Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? :-):-) 

Share this post


Link to post
Share on other sites
vor 13 Stunden schrieb daabm:

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung :-) Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren? :-):-) 

Wir haben das Beste vom Besten laut unserer sehr professionellen externen Sicherheitsdienstleister und FW-Spezialist Firma.

eine Paloalto pa-820.

Wir sind neu im Geschäft mir der Anbindung an die AD und das ist was man uns dann eingerichtet hat?

Bisher mussten wir Gruppen auf der FW einrichten lassen in welche wir dann IP-Adressen hinzugefügt oder entfernt hatten.

Ich bevorzugte dies auf Benutzerbasis zu machen und daher dieser Schritt....

WMI-Abfrage ist auch eine Möglichkeit, da wir aber eine Subdomäne haben die nicht wir selber verwalten sondern ein Semi-Pro-Admin mit unserer Unterstützung, haben wir ein Besrechtigungsproblem. An der FW kann man nur einen AD-User hinterlegen der WMI-Berechigt ist. Dazu habei ch ja bereits hier im Forum gefragt gehabt ob man einen User der in beiden Domänen WMI-Berechtigt ist, anlegen kann. Scheint nicht zu funktionieren...

 

Aber zurück zum Thema:

WOW, das mit der IP-Adresse hat geklappt! Was zum Teufel...? Wo ist der Unterschied??? Dachte immer der Name wird im Hintergrund aufgelöst und es wird IMMER mit IP gearbeitet! Warum erstellt der jetzt im Sicherheitslog einen Anmeldeeintrag wenn man mit IP statt des Namens auf eine Share geht????

Jedenfalls hat es funktioniert! Danke!

vor 13 Stunden schrieb daabm:

Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren?

 

Ach die Frage habe ich vergessen zu beantworten:

Es ist egal ob der Benutzer auf vielen PCs angemeldet sind. Die IP-Adresse ist einzigartig und dazu muss ein Benutzer assoziiert werden. Ob der Benutzer noch woanders angemeldet ist, ist der FW egal da sie entweder diese eine IP-Adresse durchlässt oder blockt aufgrund des assoziierten Benutzers zu dieser IP-Adresse.

Es ist ein Problem wenn auf einem PC mehrere User angemeldet sind. Da zählt dann immer nur der letzte.

Somit haben wir ein Problem wenn sich auf einer Windows-Maschine ein User anmeldet, dann aus welchen Gründen auch immer den User 'wechselt (Administrator zum irgendwas installieren als Beispiel). Da wird plötzlich der IP-Adresse der Administrator zugewiesen und nicht der ursprüngliche User..

Ich bin mir aber nicht sicher ob die FW auch das Abmelden berücksichtigt. Dann wäre ja wieder alles ok...

Kann ich ja mal testen. Jetzt muss ich aber erst aktuellere Probleme lösen. Denn unsere Subdomain macht auch Probleme. Dort haben einige Benutzer auch ein Konto in der Hauptdomäne (zwecks LDAP auf einige unsere Systeme) und da wird mal das Subdomain-Konto und mal das Hauptdomänen-Konto des Users 'gematcht'...

Share this post


Link to post
Share on other sites

Es gibt auch Firewall bzw. Proxies  (dürfte die bessere Wahl sein), die ein SSO via Kerberos ermöglichen...

Share this post


Link to post
Share on other sites
Am 1.9.2019 um 22:37 schrieb daabm:

Kennst Du den Unterschied zwischen NTLM und Kerberos? Ich vermute "noch" nicht... IP = NTLM, Name = Kerberos...

 

Ja, kenne ich NOCH nicht...

Werde ich mir mal in einer ruhigen Minute mal anschauen.

Danke! ;)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...