killtec
Goto Top

Benutzerüberwachung der Anmeldung des Domain-Admins

Hallo,
ist es möglich, einen PC so zu überwachen, dass wenn von einem Bestimmten Benutzer aus (normaler Domainuser) eine RDP aufgebaut wird und dort die Domain-Admin Creds drin sind, dass man dann einen Log-Eintrag macht, von welchem Benutzer das dann kommt?
Bzw. auch den Cred-Speicher überwachen auf den Benutzer?

Hintergrund:
Ein Benutzer hat sich heute via RDP auf einem Server angemeldet, auf dem er das Kennwort eigentlich nicht haben sollte. Das Kennwort haben nur 3 Personen.


Systeme: Windows 10 und Server 2016 / 2012R2

Gruß

Content-Key: 399682

Url: https://administrator.de/contentid/399682

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: emeriks
emeriks 28.01.2019 um 15:41:07 Uhr
Goto Top
Hi,
so einfach nicht.
Du kannst am betreffenden Server aufzeichnen, wer sich dort wann anmeldet. Da steht dann der Clientname drin, aber nicht der Benutzer, werlcher gerade am Client angemeldet ist.
Du kannst aber zeitgleich an allen Computern der Domäne das Gleiche aufzeichnen. Dann kannst Du am betreffenden Computer nachsehen, wer dort zu diesem Zeitpunkt angemeldet war.
Oder Du legst am Server einen Trigger auf die Anmeldevents, welche ein PS-Script ausführen. Dieses wertet die Events aus und wenn "Admin" dann versucht es sofort abzufragen, wer am betreffenden Client angemeldet ist.

Suche mal im Web nach "windows audit logon events". Da werden Sie geholfen ...

E.
Mitglied: killtec
killtec 28.01.2019 aktualisiert um 15:54:27 Uhr
Goto Top
Hi @emeriks
stimmt. Es handelt sich primär um einen Server, wo der Benutzer meint, er müsse sich mit Admin anmelden, Dann könnte ich ja den überwachen und er protokolliert ja von welchem PC aus das kommt, richtig?
Da nur ein Benutzer an dem PC ist, lässt sich das ja dann 1:1 zuordnen.

Hast du so etwas schon mal umgesetzt? Werde mir die Websuche auch mal anschauen.

#edit
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
monitor

#edit-ende

Gruß
Mitglied: emeriks
emeriks 28.01.2019 um 15:59:52 Uhr
Goto Top
Zitat von @killtec:
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
Die beiden Server?
Mitglied: killtec
killtec 28.01.2019 um 16:10:08 Uhr
Goto Top
Ein Server und ein Client.

Suche nur noch wo ich das Log nachher finde :/

Gruß
Mitglied: emeriks
emeriks 28.01.2019 aktualisiert um 16:39:09 Uhr
Goto Top
Eventlog "Sicherheit" oder "Security"
EventID 4624
Mitglied: DerWoWusste
DerWoWusste 28.01.2019 um 16:58:23 Uhr
Goto Top
Hi.

Ich würde mir ganz andere Fragen stellen:

-Warum kann sich der Admin überhaupt am Nutzerrechner anmelden? Er hat dort doch gar nichts verloren. Entzieht man ihm die Anmeldeberechtigung auf Clients, ist der "Angriff" nicht möglich
-wie konnte ein Nutzer in den Besitz des Kennwortes kommen? Wird dieser Serveradmin auch auf den Endpunkten benutzt? Warum? Das ist auf jeden Fall der falsche Weg.
Mitglied: killtec
killtec 29.01.2019 um 08:26:48 Uhr
Goto Top
Hi @dww: Der Admin meldet sich über einen Client per RDP an einem Server an.
Das zweite bin ich dabei heraus zu finden... Der Admin wurde früher teilweise auch an Clients verwendet. Ich bin gerade dabei das alles umzustricken...

Ich habe jetzt an dem Betroffenem Server noch folgendes Script beim Anmelden laufen:
echo Benutzer: %username% Anmeldezeit: %date% um %time% Uhr Server: %computername% Client: %clientname% > c:\temp\logon.txt

Gruß