[2000]Tijd wijzigingen loggen - Windows clients

dinsdag 13 september 2005 22:04

Acties:

Topicstarter

Ik ben op zoek naar een manier op alle tijdswijzigingen die de gebruiker doet (het manueel veranderen van de tijd) op een Windows 2000 machine te loggen.

M.a.w. als gebruiker X de tijd veranderd komt er in een log te staan:
“User A changed time from 14:33:17 to 15:22:11”

Ik weet dat Windows 2003 dit standaard doet, nl in de security log op de volgende manier:

code:

Event Type:     Success Audit
Event Source:   Security
Event Category: System Event 
Event ID:       520
Date:           13/09/2005
Time:           22:23:10
User:           DOMEN\GEBRUIKER
Computer:       COMPUTERNAAM
Description:
The system time was changed.
 Process ID:         3272
 Process Name:       C:\WINDOWS\system32\rundll32.exe
 Primary User Name:  GEBRUIKERSNAAM
 Primary Domain:     DOMEIN
 Primary Logon ID:   (0x0,0x2BA14CF)
 Client User Name:   admin
 Client Domain:      DOMEIN
 Client Logon ID:    (0x0,0x2BA14CF)
 Previous Time:      21:24:11 13/09/2005
 New Time:           22:11:49 13/09/2005

Weet er iemand hoe je de tijdsveranderingen kan loggen of Windows 2000 zo kan instellen dat hij ze zelf logt?

dinsdag 13 september 2005 23:41

Acties:

elevator

Officieel moto fan :)

Ik denk dat je auditting moet aanzetten voor 'Privilege use' dan wel 'System events'

dinsdag 13 september 2005 23:56

Acties:

Verwijderd

zijn de gebruikers dan admins? want default mag een gebruiker de tijd niet wijzigen.

woensdag 14 september 2005 00:05

Acties:

elevator

Officieel moto fan :)

Nee, maar dat kan je oplossen door ze handmatig dat privilige te geven met bv. ntrights danwel met GPO's

woensdag 14 september 2005 00:10

Acties:

Antediluvian

Topicstarter

ok, ik heb ff de GPO voor mijn domein (win2003) controller ingesteld zowat alles moet gelogt worden.

Ik ben er niet zeker van dat win2000 pc's dit zullen doen. 'kan het pas morgen testen. dan laat ik weten of het gelukt is of niet.

Alvast bedankt

Verwijderd schreef op dinsdag 13 september 2005 @ 23:56:
zijn de gebruikers dan admins? want default mag een gebruiker de tijd niet wijzigen.

Ik wil dit privillege niet afnemen maar wel alle veranderingen die de gebruiker maakt aan de locale systeem tijd loggen.

[ Voor 44% gewijzigd door Antediluvian op 14-09-2005 00:12 ]

woensdag 14 september 2005 03:04

Acties:

Verwijderd

dat gewone gebruikers de tijd niet mogen wijzigen, heeft natuurlijk een reden. machines worden automatisch gesynct met de pdc emulator en als de tijd meer dan 5 mins afwijkt van die machine heb je shit... dus geef ze dat privilege nu niet maar regel een ntp sync van je pdc emulator.

woensdag 14 september 2005 12:39

Acties:

Antediluvian

Topicstarter

Ik weet best dat het niet is aangeraden om gebruikers het recht te geven om de lokale systeem tijd te veranderen. Nu is het zo dat ze dit wel kunnen en volgens mij is daar misbruik van gemaakt. (uur verzetten icm electronische prikklok)

Nu wil ik niet dat ze dit niet meer kunnen maar ik wil al de wijzigingen loggen om zo de persoon(en) die er misbruik van maakt mee te confronteren.

woensdag 14 september 2005 13:49

Acties:

Antediluvian

Topicstarter

Na het controleren van de log merk ik op dat dankzij de nieuwe GPO de WIN2005 PC het volgende logt

code:

Type gebeurtenis:          Controleren op geslaagde pogingen
Bron van gebeurtenis:      Security
Categorie van gebeurtenis: Bebruik van machtigingen 
Gebeurtenis-ID:            577
Datum:                     14/09/2005
Tijd:                      14:47:47
Gebruiker:                 &#8220;DOMEIN\GEBRUIKER&#8221;
Computer:                  &#8220;PCNAAM&#8221;
Beschrijving:
Bevoegdheidsservice aangeroepen:
    Server:                  Security
    Service:                 -
    Primaire-gebruikersnaam: "GEBRUIKER"
    Primair domein:          "DOMEIN"
    Primaire aanmeldings-ID: (0x0,0xC899)
    Bevoegdheden:            SeSystemtimePrivilege

Hiermee kan ik dus jammer genoeg niet zien wat de originele tijd was en waarnaar de tijd veranderd is.

Iemand nog ideeën?

Pagina: 1

Reageer