michelo82 12 Geschrieben 20. Januar Melden Geschrieben 20. Januar Hallo zusammen, wir sind dabei unsere Firewall auf eine Sophos XGS zu migrieren. Hier wird die Anbindung ans AD über das Tool/Dienst STAS realisiert. Für die Erkennung, ob ein User angemeldet ist, wird das Event 4768 verwendet. Ob sich der User abgemeldet hat funktioniert via WMI, heißt dort "Logoff Detection". Nun macht es sich die Sophos-Dokumentation da sehr einfach und fordert, dass der STAS-Nutzer einfach überall Admin sein soll. Für WMI entsprechend lokaler Admin auf den Clients. Ich möchte das allerdings nicht und nur die nötigsten Berechtigungen vergeben. STATS muss lediglich für seine "Logoff Detection" den Wert "UserName" per WMI auslesen. Mir gelingt es aber leider nicht die Berechtigunge dahingehend einzustellen bzw. suche ich an der falschen Stelle. Ich hatte den STAS-User bereits in den Gruppen Distributed COM-Benutzer, Leistungsprotokollbenutzer, Leistungsüberwachungsbenutzer und habe die "Konto aktivieren" & "Remoteaktivierung" in DCOMCNFG.exe / wmimgmt.msc angepasst. Testen kann man das in der CMD: ohne lokale Adminrechte auf dem Client bleibt der Wert "UserName" alledings leer. C:\WINDOWS>wmic wmic:root\cli>/user: DOMAIN\STAS Enter the password :******** wmic:root\cli>/node: 192.168.1.10 (Test-Client IP) wmic:root\cli>computersystem get username /value UserName=DOMAIN\testuser (hier sollte jetzt der Angemeldete User angzeigt werden) Wo setze ich die entsprechende Berechtigungen um als Benutzer (nicht-admin) per WMI leserechte auf den Wert "UserName" zu erhalten?
daabm 1.431 Geschrieben 6. Februar Melden Geschrieben 6. Februar WMI-Remoting - OMG, da musst Du an Namespace-Berechtigungen drehen. Vergiß es lieber - wir hatten so was ähnliches auch mal und haben das Produkt dann verworfen...
cj_berlin 1.509 Geschrieben 7. Februar Melden Geschrieben 7. Februar Was @daabm sagt. Least Privilege für STAS ist nichts für Leute, die ein Leben haben.
cj_berlin 1.509 Geschrieben 7. Februar Melden Geschrieben 7. Februar Am 20.1.2025 um 11:49 schrieb michelo82: Ich hatte den STAS-User bereits in den Gruppen Distributed COM-Benutzer, Leistungsprotokollbenutzer, Leistungsüberwachungsbenutzer und habe die "Konto aktivieren" & "Remoteaktivierung" in DCOMCNFG.exe / wmimgmt.msc angepasst. Dabei bräuchtest Du ja eigentlich "Remoteverwaltungsbenutzer", die genau dafür da ist - aber eigentlich auch schon zu hoch privilegiert :-( Am 20.1.2025 um 11:49 schrieb michelo82: C:\WINDOWS>wmic wmic:root\cli>/user: DOMAIN\STAS Enter the password :******** wmic:root\cli>/node: 192.168.1.10 (Test-Client IP) wmic:root\cli>computersystem get username /value UserName=DOMAIN\testuser (hier sollte jetzt der Angemeldete User angzeigt werden) Und wenn die Firewall genau das tut (Workstations per IP-Adresse über WMI ansprechen) dann verheiratest Du dich halt für immer mit NTLM, nur um einen Logoff zu erkennen. Was ist denn die konkrete Bedrohung, die mit diesem Mechanismus abgewendet werden soll? Dass jemand sich nach Feierabend die IP vom Kollegen reinspooft und auf irgendwelche hochgeheimen Internetseiten zugreifen kann, wo der Kollege hin darf und der Spoofende nicht?
zahni 587 Geschrieben 8. Februar Melden Geschrieben 8. Februar Was soll damit erreicht werden? Geht es um einen transparenten Proxy? Da würde ich einen echten Proxy mit Kerberos-Auth bevorzugen. Der kann dann über LDAP Gruppenzugehörigkeiten abfragen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden