DC mit Server 2022: Audit Konfig. in "Local Security Policy" bleibt nicht gespeichert?

[cj_berlin 1.435]

  Am 5.9.2022 um 11:55 schrieb zahni:

Wenn das wirklich so ist, was ich nicht glaube, halt ich das für groben Unfug.

Proxies verwenden meist NTLM oder besser Kerberos zur Benutzeranmeldung. Da wird nicht aus dem Eventlog gelesen, sondern vom Windows höchstens geschrieben.

Mehr  

Ja, weil Proxies Authentifizierung unterstützen, hier geht es aber um Firewalls.

Und ja, egal, für was Du oder ich das halten, es funktioniert so - SOPHOS mit STAS, PaloAlto mit UserID, usw. usw. Alternative dazu ist ein Agent auf jedem Endpoint, wie TMG einen hatte.

[andrew 15]

Hoi Zahni

 

Benutze doch kurz hier im Blog von diesem Beitrag die Textsuche und gib diesen Satz ein: 

 

„Nils, da hier ist der offizielle Sophos Support“

 

dann landest Du an der Stelle in diesem Blog, wo ich schon einmal auf Sophos verwiesen habe. 

 

Oder: google, dann als Suchbegriff z. B. Sophos STAS eingeben : -)

 

 

 

 

  Am 5.9.2022 um 12:23 schrieb cj_berlin:

Alternative dazu ist ein Agent auf jedem Endpoint, wie TMG einen hatte

Mehr  

 

Das ist genau so : -)

[zahni 577]

Ok, wir verwenden hier ausschließlich explizite Proxies, was diese Dinge auf oft können. Inkl. Contentfilter, SSL interception usw.

 Das Andere hört sich mir viel zu kompliziert an.

[andrew 15]

Ok, nun gerne wieder zurück zum eigentlichen Thema/ Problem.

Wie weiter?

 

Müssen wir einen anderen Weg einschlagen?

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

 

Was haltet Ihr vom Vorschlag? Wenn wir herausfinden würden, welches ADMX Template für diesen Audit Bereich unter Security zuständig ist Und: wenn wir diese ADMX Vorlage halt einfach neu herunterladen und dann bei mir auf dem DC in den Central Store pflanzen? Würde das vielleicht helfen?

 

Oder könnte es hilfreich sein, für die GUID Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{f3ccc681-b74c-4060-9f26-cd84525dca2a} (Audit Bereich in der GPO) herausfinden zu wollen, welche .DLL dahinter steckt und ich diese dann austauschen würde, dass ich endlich in der GPO wie hier im Bild zu sehen, die entsprechende Überwachung konfigurieren kann?

 

 

bearbeitet 5. September 2022 von andrew

[Damian 1.722]

@andrew Was erhoffst Du dir von deiner Diskussionsführung?

 

  Am 5.9.2022 um 16:09 schrieb andrew:

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

Mehr  

Niemand muss hier irgend etwas. Alle Member, egal welchen Status sie haben, stellen ihr Wissen und ihre Erfahrung hier kostenlos und in ihrer Freizeit zur Verfügung. Wenn sie nicht (oder nicht mehr) antworten, haben sie entweder keine Lösung für Dein Problem oder einfach keine Lust mehr zu antworten - was ich persönlich absolut nachvollziehen kann. Deine Diskussionsführung ist gelinde gesagt anstrengend und zeugt von wenig Respekt.

 

Anstatt hier von Anderen ein "neues Denken" zu fordern, solltest Du dein Denken bei Gelegenheit einmal reflektieren. Wer hier Hilfe sucht, sollte nett darum fragen, nicht fordern und auch mal Danke sagen.. 

 

Sollte sich noch ein Member über Deine Postings beschweren, wird dieser Thread wegen Respektlosigkeit geschlossen.

 

VG

Damian

[testperson 1.789]

HI,

  

  Am 5.9.2022 um 16:09 schrieb andrew:

Müssen wir einen anderen Weg einschlagen?

Jetzt, wo es um das Troubleshooting geht oder gehen würde, scheint die Begeisterung hier bei der Fangemeinde nicht gerade gross zu sein. Oder wie soll ich das deuten, wenn ich keine Lösungsvorschläge unterbreitet bekomme?

 

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

Mehr  

 

ich bin mir nicht sicher, ob ich das etwas kleinlich lese oder ob du eine völlig falsche Erwartungshaltung hast. "Wir" _müssen_ vermutlich gar nichts, du _könntest_ aber für Lösungsvorschlage ein Ticket bei Microsoft oder auch bei Sophos aufmachen. Da _könntest_ du dann auch mit einer Erwartungshaltung ans Thema gehen.

 

Dennoch ein Lösungsvorschlag: Ist bei dir in irgendeiner Policy folgende Einstellung gesetzt: "Computer Configuration" -> "Windows Settings" -> "Local Policies" -> "Security Options" -> "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings."?

(Security auditing settings are not applied to Windows Vista-based and Window Server 2008-based computers when you deploy a domain-based policy - Windows Server | Microsoft Docs)

 

Gruß

Jan

bearbeitet 5. September 2022 von testperson

[tesso 382]

In der lokalen Policy konfiguriert man nichts. 
Nimm die DDCP. Oder eine neu GPO die auf die DCs verlinkt wird. 
schau dir die Policies inklusive der Priorität an. 
Nutzt du nur die Einstellungen des Audits wie im Screenshot oder auch das Advanced Audit?

[andrew 15]

  Am 5.9.2022 um 16:33 schrieb Damian:

Niemand muss hier irgend etwas.

Mehr  

 

Du hast recht, lieber Damian. Niemand muss.

Es scheint, als hättest du dich direkt angegriffen und oder verletzt gefühlt, anders kann ich deine Reaktion nicht deuten?

 

Das "müssen" bezog sich, wenn du ihn so interpretieren würdest, wie ich es formulierte hatte, auf den letzten Satz, welchen ich nun absichtlich Fett markiert habe.

  Am 5.9.2022 um 16:33 schrieb Damian:

Müssen wir einfach halt mal mit unserem Denken etwas offener sein im Sinne von: Damit wir uns nicht "festsetzen".

Mehr  

 

Es ist sicher nicht meine Absicht, hier auf dieser technisch, orientierten Plattform A zu streiten und B euch User*innen etwas aufzwingen zu wollen.

Man kann, soll, darf seine Meinung öffentlich äussern, auch hier. Jede und jeder ist hoffentlich gross und alt genug, um seine Meinung zu einem Post/ Satz, Äusserung direkt und höflich zu deponieren.

 

  Am 5.9.2022 um 16:33 schrieb Damian:

Wer hier Hilfe sucht, sollte nett darum fragen, nicht fordern und auch mal Danke sagen.. 

Mehr  

 

Du unterstellst mir also, dass ich noch NICHT 1x danke gesagt habe?

Ok, du darfst gerne ein paar Beispiele haben, hier

 

  Am 4.9.2022 um 13:10 schrieb andrew:

Hallo Norbert

 

Danke für die schnelle Antwort. Das war wirklich ein guter Denkanstoss.

Mehr  

 

Oder hier

 

  Am 5.9.2022 um 08:37 schrieb andrew:

Hallo Zahni

  Am 5.9.2022 um 09:35 schrieb andrew:

Saludos CJ

 

Hey, Du bist aber aufmerksam, super cool, thx. Ach so, ja, dann muss ich das Losging schleunigst anpassen, danke vielmals.

Mehr  

Ich habe dies nachträglich auch gelernt (da hatte ich die Überschrift für diesen Post schon getätigt resp. den Post).

Wie kann ich die Überschrift/ Titel dieses Posts hier noch ändern?

Mehr  

 

Immer schön mit fett hervorgehoben

 

 

Liebe Testperson

 

Danke für diesen Input hier 

  Am 5.9.2022 um 16:34 schrieb testperson:

Dennoch ein Lösungsvorschlag: Ist bei dir in irgendeiner Policy folgende Einstellung gesetzt: "Computer Configuration" -> "Windows Settings" -> "Local Policies" -> "Security Options" -> "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings."?

Mehr  

 

 

Soeben habe ich rsop.msc auf dem DC aufgeführt und in der besagten Einstellung finde ich keine aktivierte Funktion.

 

War aber ein guter Input, so finde ich.

bearbeitet 5. September 2022 von andrew

[testperson 1.789]

  Am 5.9.2022 um 17:41 schrieb andrew:

Soeben habe ich rsop.msc auf dem DC aufgeführt und in der besagten Einstellung finde ich keine aktivierte Funktion.

 

Mehr  

Dann konfiguriere die Policy einmal und setze sie auf "Disabled".

[andrew 15]

  Am 5.9.2022 um 17:46 schrieb testperson:

Dann konfiguriere die Policy einmal und setze sie auf "Disabled".

Mehr  

 

Liebe Testperson, genau das habe ich soeben gemacht und sage: And the winner is: rate mal? Du hat voll in das schwarze getroffen, wirklich Hammer mässig.

Der Thread kann also geschlossen werden, sowas von geil

 

Aber es interessiert mich jetzt trotzdem: hast Du dieses Problem schon gekannt oder hast Du Dich jetzt einfach quasi "für mich" in das Problem "reingebissen"?
Wow, ich als technisch, begeisterte Person, welche eigentlich immer und jedes Problem versuche zu lösen, solange es "der Wert" ist, bin jetzt wirklich extrem glücklich, hier mit diesem Board zusammen, mit Euch zusammen, besonders dank Dir, liebe Testperson (wie heisst Du eigentlich?) hier eine Lösung gefunden zu haben, yes man, you ar the man ;)

bearbeitet 5. September 2022 von andrew

[boardadmin 0]

  Am 5.9.2022 um 18:04 schrieb andrew:

 

Liebe Testperson, genau das habe ich soeben gemacht und sage: And the winner is: rate mal? Du hat voll in das schwarze getroffen, wirklich Hammer mässig.

Der Thread kann also geschlossen werden, sowas von geil

Mehr  

 

Der Beitrag ist wie gewünscht geschlossen.

 

Bitte nimm Dir für die Zukunft vor, etwas konstruktiver zu agieren. Wie Damian schon sagte: Wir helfen gerne, aber das kann man fairer gestalten.
Zumal Du der Hilfesuchende bist, das berechtigt einen Fragesteller nicht Forderungen zu stellen oder Antworten der Helfenden zu beurteilen.

 

Bitte beim nächsten Mal beherzigen und sehe es als freundlichen Reminder!