12
Wie überwacht man effektiv Änderungen an Domain Administrator Konten?
Hallo alle zusammen,
ich habe kürzlich darüber nachgedacht, wie man am besten benachrichtigt werden kann, wenn ein neuer Domain Administrator angelegt bzw. im AD sich ein User in die Gruppe Domain-Admins einträgt.
Ich frage mich, welche Lösungen ihr dafür verwendet oder ob ihr spezielle Überwachungssysteme einsetzt, um solche Änderungen im Blick zu behalten.
Ich würde mich sehr über eure Meinungen und Erfahrungen zu diesem Thema freuen. Wie löst ihr das Problem und welche Lösungen empfehlt ihr? Vielleicht gibt es sogar noch andere Optionen, die ich nicht in Betracht gezogen habe.
Vielen Dank im Voraus
LG Favory
ich habe kürzlich darüber nachgedacht, wie man am besten benachrichtigt werden kann, wenn ein neuer Domain Administrator angelegt bzw. im AD sich ein User in die Gruppe Domain-Admins einträgt.
Ich frage mich, welche Lösungen ihr dafür verwendet oder ob ihr spezielle Überwachungssysteme einsetzt, um solche Änderungen im Blick zu behalten.
Ich würde mich sehr über eure Meinungen und Erfahrungen zu diesem Thema freuen. Wie löst ihr das Problem und welche Lösungen empfehlt ihr? Vielleicht gibt es sogar noch andere Optionen, die ich nicht in Betracht gezogen habe.
Vielen Dank im Voraus
LG Favory
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6073816137
Url: https://administrator.de/contentid/6073816137
Printed on: April 28, 2024 at 08:04 o'clock
12 Comments
Latest comment
Moin,
oder anders: Bitte was??
Gruß
Doskias
oder anders: Bitte was??
ich habe kürzlich darüber nachgedacht, wie man am besten benachrichtigt werden kann,
nachdenken ist immer gut.wenn ein neuer Domain Administrator angelegt bzw. im AD sich ein User in die Gruppe Domain-Admins einträgt.
Was zum Teufel meinst du mit sich ein User in die Gruppe einträgt? Da sollte der User keinen Zugriff drauf haben um sich da selbst einzutragen.Ich frage mich, welche Lösungen ihr dafür verwendet oder ob ihr spezielle Überwachungssysteme einsetzt, um solche Änderungen im Blick zu behalten.
Nein. Das lohnt sich nicht, da es keine Änderungen daran gibt. Bei uns sind es zwei Leute, die überhaupt Zugriff aufs AD haben. Unser "normaler" Account hat keine Adminrechte, jeder hat einen Domänen-Admin, aber der ist dediziert für Admin-Arbeiten. Ein User mit dem man täglich arbeitet, hat nichts in der Domänen-Admin-Gruppe zu suchen. Selbst als Admin hat der "normale" User keine Daseinsberechtigung als Domänen-Admin zu fungieren. Allein aus Sicherheitsgründen solltest du nicht den ganzen Tag mit Domänen-Adminrechten arbeiten.Ich würde mich sehr über eure Meinungen und Erfahrungen zu diesem Thema freuen. Wie löst ihr das Problem und welche Lösungen empfehlt ihr? Vielleicht gibt es sogar noch andere Optionen, die ich nicht in Betracht gezogen habe.
Vernünftige Absprache und einhaltende Vorgaben. Gruß
Doskias
1
Über nen Tasktrigger und AD-Auditing Rules z.B. wie hier:
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
h.
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
h.
1
@hagelschadem: Prinzipiell möglich, aber wenn der User weiß was er da vorhat, dann wird er diese Überwachung auch recht schnell aushebeln können. So ein Task lässt sich schnell anhalten und stoppen. In meinen Augen sollte so eine Überwachung bei einem anständigen Sicherheits- und Berechtigungskonzept nicht erforderlich sein.
Jepp wie immer gilt "least privilege". Wenn man den User gleich überall zum globalen oder Enterprise Admin macht dann ist man selbst schuld 
. Eine Änderung an Tasks etc. lässt sich aber bei Bedarf auch überwachen ...
. Eine Änderung an Tasks etc. lässt sich aber bei Bedarf auch überwachen ...
1
In Ergänzung zu @Doskias
A) Vermutlich willst Du hierdurch "Sicherheit" generieren. Bau dein AD lieber in ein Tiermodell um und arbeite mit Admins je Tier. Diese Admins werden dann auch tatsächlich nur für administrative Aufgaben verwendet und melden sich nicht direkt an Maschinen an, schon gar nicht an einem AD-Controller.
Google einfach mal das AD Tier-Model, wirst fündig.
B) Noch besser, wenn Geld und Aufwand keine Rolle spielen: Ticketsystem via API das AD steuern lassen. Alle Änderungen nur via genehmigten Change-Request und automatisiert durch die entsprechenden Schnittstellen.
Ich habe schon ein Unternehmen gesehen, welches so arbeitet, aber auch entsprechendes Budget für solche Lösungen über hat. Soweit ich weiß, war die Anbindung selbst entwickelt, nix von der Stange.
A) Vermutlich willst Du hierdurch "Sicherheit" generieren. Bau dein AD lieber in ein Tiermodell um und arbeite mit Admins je Tier. Diese Admins werden dann auch tatsächlich nur für administrative Aufgaben verwendet und melden sich nicht direkt an Maschinen an, schon gar nicht an einem AD-Controller.
Google einfach mal das AD Tier-Model, wirst fündig.
B) Noch besser, wenn Geld und Aufwand keine Rolle spielen: Ticketsystem via API das AD steuern lassen. Alle Änderungen nur via genehmigten Change-Request und automatisiert durch die entsprechenden Schnittstellen.
Ich habe schon ein Unternehmen gesehen, welches so arbeitet, aber auch entsprechendes Budget für solche Lösungen über hat. Soweit ich weiß, war die Anbindung selbst entwickelt, nix von der Stange.
Moin,
in Ergänzung zu @Cloudrakete.
Mit dem nativen Auditing im Windows Server/Active Directory ganz du viel protokollieren - manchmal zu viel. Es macht natürlich keinen Sinn die Daten jeweils lokal zu speichern. Daher bietet es sich an, die Changes an ein externe Log Management mit WORM Funktionalität zu schicken und dort für die Dauer von X zu speichern. Setzt natürlich voraus, dass nahezu in Realtime mit Hilfe von Suchmustern mögliche Anomalien entdeckt und gemeldet werden. Das ist für Katz wenn das ein und das selbe Team "bewacht".
Die Frage ist wie groß müssen wir bei dir denken?
Gruß,
Dani
in Ergänzung zu @Cloudrakete.
Mit dem nativen Auditing im Windows Server/Active Directory ganz du viel protokollieren - manchmal zu viel. Es macht natürlich keinen Sinn die Daten jeweils lokal zu speichern. Daher bietet es sich an, die Changes an ein externe Log Management mit WORM Funktionalität zu schicken und dort für die Dauer von X zu speichern. Setzt natürlich voraus, dass nahezu in Realtime mit Hilfe von Suchmustern mögliche Anomalien entdeckt und gemeldet werden. Das ist für Katz wenn das ein und das selbe Team "bewacht".
Die Frage ist wie groß müssen wir bei dir denken?
Gruß,
Dani
Hi,
es gab mal Advanced Threat Analytics von MS. Das hat u.a. bestimmte Gruppen überwacht. Ist aber inzwischen EoL und war recht Ressourcen intensiv.
Die "KI" war auch eher wenig hilfreich. Für Change Alerts und prüfen wer/wie/was geändert hat, wars aber echt praktisch.
Jetzt gibt es (teilweise) Nachfolger in der Cloud.
Ja, wir sind auch eine Firma mit gewachsenem AD...
Sg Dirm
es gab mal Advanced Threat Analytics von MS. Das hat u.a. bestimmte Gruppen überwacht. Ist aber inzwischen EoL und war recht Ressourcen intensiv.
Die "KI" war auch eher wenig hilfreich. Für Change Alerts und prüfen wer/wie/was geändert hat, wars aber echt praktisch.
Jetzt gibt es (teilweise) Nachfolger in der Cloud.
Ja, wir sind auch eine Firma mit gewachsenem AD...
Sg Dirm
1
Dann lass mal einen guten Pentester in das System In vielen Umgebungen erstellt er einen Domain-Admin Account schneller als du gucken kannst.
In vielen Umgebungen erstellt er einen Domain-Admin Account schneller als du gucken kannst.2
Ich denke, es geht dem Ersteller darum, informiert zu werden, falls sich ein Angreifer einen Domain-Admin User anlegt.
Das mitzubekommen kann schon sinnvoll sein.
Denn wenn dort ein Konto hinzugefügt wird, weiß man meistens recht schnell, dass die Kacke am Dampfen ist.
Das ist übrigens auch ein doch immer wieder festzustellendes Vorkommen, dass der Angreifer sich so eine „Backdoor“ oder halt einfach einen zweiten Admin erstellt.
Und wenn der Angreifer nichts von der Überwachung weiß, schaltet er Sie auch nicht aus
Das mitzubekommen kann schon sinnvoll sein.
Denn wenn dort ein Konto hinzugefügt wird, weiß man meistens recht schnell, dass die Kacke am Dampfen ist.
Das ist übrigens auch ein doch immer wieder festzustellendes Vorkommen, dass der Angreifer sich so eine „Backdoor“ oder halt einfach einen zweiten Admin erstellt.
Und wenn der Angreifer nichts von der Überwachung weiß, schaltet er Sie auch nicht aus
1
Hallo alle zusammen,
vielen Dank an alle. Das hat mir schon recht viel geholfen. ;)
@Nils02
Genau um das gings mir. Hätte ich vielleicht dazu schreiben soll.
LG
Favory
vielen Dank an alle. Das hat mir schon recht viel geholfen. ;)
@Nils02
Genau um das gings mir. Hätte ich vielleicht dazu schreiben soll.
LG
Favory
Hallo,
kleine Idee am Rande:
Überwachung von AdminSDHolder bzw. adminCount im AD mit PRTG=655#comment-6085410232
Man kann sich einen Hash über alle AdminSDHolder-Konten erzeugen und diesen überwachen.
Grüße
lcer
kleine Idee am Rande:
Überwachung von AdminSDHolder bzw. adminCount im AD mit PRTG=655#comment-6085410232
Man kann sich einen Hash über alle AdminSDHolder-Konten erzeugen und diesen überwachen.
$stringAsStream = [System.IO.MemoryStream]::new()
$writer = [System.IO.StreamWriter]::new($stringAsStream)
$admins = get-aduser -Filter {admincount -gt 0 } -Properties adminCount | sort-object -Property DistinguishedName | fl -Property DistinguishedName, adminCount, Enabled
write-host($admins.ToString())
$writer.write($admins.ToString())
$writer.Flush()
$stringAsStream.Position = 0
Get-FileHash -InputStream $stringAsStream | Select-Object HashGrüße
lcer
1