dinsdag 11 maart 2008 18:49

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
ok, heb een pc in me dmz hangen en ook rdp hierop...

nu zag ik opeens dat gebruiker "console", op de console actief was?,

account had de volgende beschrijving...
Built-in account for Internet Information Services to start out of process applications
had dit gisteren al gezien, en had toen deze account voor de zekerheid op disabled gezet...

kom ik dus rond 6uur thuis, log ik via rdp op me server in, is die "console" account weer ingelogd...

heb account nu verwijderd...., zie dat de account ook heeft ingelogd via de event viewer, kan ik ergens zien hoe deze account is aangemaakt? zodat ik deze user (waarschijnlijk een admin account)

er op kan attenderen, om zijn/haar password te changen?

dinsdag 11 maart 2008 18:51

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Auditing?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 11 maart 2008 18:54

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
jah zeg toch dat ik die zie in de event log...

zie login en log-off meldingen nml...

dinsdag 11 maart 2008 20:16

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dutch2007 schreef op dinsdag 11 maart 2008 @ 18:54:
jah zeg toch dat ik die zie in de event log...
Geen stresskippengedoe, nergens voor nodig :)
zie login en log-off meldingen nml...
Maar dan werk je waarschijnlijk met de standaard instellingen out of the box.
Dan zie je geen account creation logevents :)

Daarvoor moet je in je (local) Security Settings (secpol.msc) onder Audit Policy ook Audit Account Management aan hebben staan.

[ Voor 14% gewijzigd door alt-92 op 11-03-2008 20:19 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 11 maart 2008 22:33

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
alt-92 schreef op dinsdag 11 maart 2008 @ 20:16:
[...]

Geen stresskippengedoe, nergens voor nodig :)


[...]

Maar dan werk je waarschijnlijk met de standaard instellingen out of the box.
Dan zie je geen account creation logevents :)

Daarvoor moet je in je (local) Security Settings (secpol.msc) onder Audit Policy ook Audit Account Management aan hebben staan.
net ff gekeken, dat staat dus standaard aan op een domain controller, ding is ook DC ;-)
Audit account management

This security setting determines whether to audit each event of account management on a computer. Examples of account management events include:

A user account or group is created, changed, or deleted.
A user account is renamed, disabled, or enabled.
A password is set or changed.

If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails.

To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Default:
Success on domain controllers.
No auditing on member servers.
failure ook maar aangezet

dinsdag 11 maart 2008 22:49

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Beetje jammer dat je de account deleted hebt, dan had je nog kunnen achterhalen welke tokens die meekreeg.

Mag ik je een welgemeend advies geven?

Flatten & rebuild, en volgende keer niet je domain controller in een DMZ hangen 'omdat dan alles in één keer werkt en ik niet hoef uit te zoeken elke poort ik nu weer moet open zetten voor $vaagiets XYZ.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 11 maart 2008 22:53

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
rebuild zou fubar zijn :(, kom ik dus 2 servers te re-installeren...

had dc in dmz gezet, omdat ik deze server ook wel eens mee neem naar lanparty's, en dan moeten me ouders wel op hun pc kunnen inloggen e.d. zonder te moeten switchen naar local pc e.d.

re-install was ik zo-ie-zo van plan, deze week nog 2GB extra ram er in gestopt, en ga ik soonish ff server2008 hier op zetten :) dan wel zonder DC, alles al naar de andere server qua functies gemoved... en me router doet moeilijk met forwarding, werkt gewoonweg 9 van de 10x niet, ook al heeft de server een vast ip-adres...

dinsdag 11 maart 2008 23:16

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dutch2007 schreef op dinsdag 11 maart 2008 @ 22:53:
rebuild zou fubar zijn :(, kom ik dus 2 servers te re-installeren...
Tenzij je liever voor de onzekerheid kiest dat iemand anders toegang tot jouw complete netwerk heeft hierdoor?

Je DC is dé database waar álle accounts op zitten.
Van al je users, alle PC's.

Door die in een DMZ te hangen (waarom eigenlijk nog - hang dat ding dan gewoon open en bloot aan internet - zelfde effect) geef je de sleutels van je 'huis' uit handen - je staat er bij wijze bij te roepen "Hier zijn de sleutels van m'n huis, doe ermee wat je wil".
had dc in dmz gezet, omdat ik deze server ook wel eens mee neem naar lanparty's, en dan moeten me ouders wel op hun pc kunnen inloggen e.d. zonder te moeten switchen naar local pc e.d.
Wat heeft dat in godsnaam voor zin? Stel dan cached logons in bijvoorbeeld.
Kunnen ze nog steeds met een domain account inloggen zonder dat je DC daarvoor bereikbaar hoeft te zijn.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 maart 2008 08:59

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
jah daar heb je dan wel weer gelijk in :), mjah aantal domain users waren maar iets van 20 oid, van ze allemaal password reset naar totaal iets anders dan ik standaard had ingesteld, en ze allemaal atm op disabled gezet...

cache had ik idd ingesteld jah, klopt, jah soms denk ik wel uns scheef ;)


en echt alles eraf is niet nodig :), de 1e pc moet ik alleen "ff" re-installed krijg vandaag server2008 dvd, key heb ik al (jah legaal via msdn)

andere "ff" uit domain gooien, en dan weer DC maken en paar users aanmaken...

(dat van database van de gebruikers e.d. wist ik)

2e vraag, je zei dat als ik dat auditing e.d. aan had staan (wat dus het geval was kon ik zien hoe hij er op was gekomen... suggesties)

[ Voor 52% gewijzigd door Dutch2007 op 12-03-2008 09:03 ]

woensdag 12 maart 2008 19:12

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dutch2007 schreef op woensdag 12 maart 2008 @ 08:59:
jah daar heb je dan wel weer gelijk in :), mjah aantal domain users waren maar iets van 20 oid, van ze allemaal password reset naar totaal iets anders dan ik standaard had ingesteld, en ze allemaal atm op disabled gezet...
En hoe weet je of er niet ergens een account rondzwerft die je niet via ADUC ziet?
en echt alles eraf is niet nodig :)
Jouw keuze. Je domain controller is compromised, en daarmee je hele netwerk (inclusief client PCs).
2e vraag, je zei dat als ik dat auditing e.d. aan had staan (wat dus het geval was kon ik zien hoe hij er op was gekomen... suggesties)
Zoveel moeite zal het toch niet zijn om met de Account Management policies aangezet je Security Eventlog open te houden, een user account aan te maken en dan te zien welke EventIDs er verschijnen?

Niet dat dat je in dit geval nog zou helpen, want eventlogs zijn met Domain Admin rechten ook te beïnvloeden - dan laat je als inbrekert ook minder sporen achter.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 maart 2008 22:13

Acties:
  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09-2025

Dutch2007

Topicstarter
niet alles er af, in de trend van, alleen uit domain gooien, ;-), domain weer op die pc zetten, en dan die server2008 er bij hangen, op een dc kan immers zo ver ik weer geen local user meer gemaakt worden...

vrijdag 14 maart 2008 10:12

Acties:
  • mindcre8r
  • Registratie: Maart 2000
  • Laatst online: 22-01 11:42

mindcre8r

Tradepedia

alles in je verhaal klopt niet.

of je nou een server in je dmz hebt staan of niet als het een Dc is blijft het even latig om deze mee te nemen naar een lanparty. daar veranderd je DMZ (IP settings) niks aan.

je kan idd je server dc afmaken en weer opbouwen.

Maar verder, haal die server uit je DMZ, is compleet onnodig en vooral onverstandig.

niet om te bashen niet om te pochen, gewoon doen!

[ Voor 10% gewijzigd door mindcre8r op 14-03-2008 10:52 ]

Bears and Bulls

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq