Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Gevraagd Reporter tool enterprise omgeving

Pagina: 1
Acties:

dinsdag 20 december 2011 12:15

Acties:
  • pandit
  • Registratie: Maart 2003
  • Laatst online: 30-11 17:20

pandit

Topicstarter
Hallo allemaal

Wij beheren een omgeving met ca. 1200 Windows servers (Vanaf W2K tot W2K8) in ca. 10 domeinen , door vele reorganisaties en veranderd inzicht is de omgeving nogal vervuilt. Zo zijn van veel service accounts de wachtwoorden nooit veranderd omdat de impact van een wijziging niet te overzien is. In het kader van strenge IB eisen wil ik inzicht krijgen waar welke accounts gebruikt worden en zoek daarom tooling die alle 1200 servers af gaat zoeken waar bepaalde accounts gebruikt worden, zoals voor services \ scheduled tasks , NTFS rechten , share rechten en deze in een database opslaat. In eerste instantie dacht ik aan zelfbouw met powershell, maar deins wel terug van de hoeveelheid werk die dit meebrengt. De tool "Enterprise Security Reporter" van Quest zou hier goed geschikt voor moeten zijn, maar het prijskaartje van een kwart miljoen euro is teveel van het goede. Ik heb op dit moment de behoefte aan een momentopname van de omgeving.

Heeft iemand een suggestie van tooling die aan mijn eisen voldoet?

dinsdag 20 december 2011 12:30

Acties:
  • Noxious
  • Registratie: Juli 2002
  • Laatst online: 28-11 14:32

Noxious

Interresant :)

Ik heb ervaring met een soortgelijke situatie, zei het op veel kleinere schaal.

Ik heb niet direct een antwoord voor je, maar blijf deze zeker even volgen :)

woensdag 21 december 2011 17:26

Acties:
  • Oid
  • Registratie: November 2002
  • Niet online

Oid

bij het vorige bedrijf hadden we dit probleem ook, ze hebben inderdaad zoals je aangeeft quest gebruikt. daarna zijn ze Secret Server gaan gebruiken om dit op te lossen.

Misschien heb je er wat aan.

woensdag 21 december 2011 18:41

Acties:
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 29-11 14:41

Semt-x

Deze situatie kom ik vanuit mijn werk regelmatig tegen bij de voorbereidingen van een migratie, al zijn 1200 servers wel wat meer dan gemiddeld.
Ik heb een set scripts gemaakt die me helpt bij het inzichtelijk maken van gebruik van objecten in AD (tis wat uitgebreider dan enkel service accounts).
Nu kan ik natuurlijk niet inschatten hoe groot het probleem bij jullie is, maar gemiddelde cijfers van andere omgevingen is ongeveer 75% snel te identificeren met die scripts, de overige 25% blijft handwerk.

Een grove inschatting is een paar maanden werk, als je de tijd hebt is het een perfect leer moment. Als er wat druk op de ketel staat, kun je rondkijken of een bedrijf je kan helpen. ipv blind die 250k uitgeven het kan voor een vijfde.

h2h,
Sem

woensdag 21 december 2011 20:15

Acties:
  • Dronium
  • Registratie: Januari 2007
  • Laatst online: 21:37

Dronium

Misschien is True Last Logon iets voor je, wij gebruiken het ivm SoX rapportages. Geeft in ieder geval een keurig overzicht (per domein) van wanneer een account voor het laatst heeft ingelogd. Ik dacht niet dat je kunt zien waar en ingelogd is, maar het is wel een goede tool om alle overbodige accounts op te sporen en op te ruimen.
Voor een omgeving met 1200 servers/10 domeinen is de prijs ook wel schappelijk te noemen.

[ Voor 16% gewijzigd door Dronium op 21-12-2011 20:19 ]

woensdag 21 december 2011 20:35

Acties:
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 29-11 14:41

Semt-x

@Dronium dat is makkelijk met een script te doen. Al krijg je geen fancy gui :]

Dit werkt met het "lastLogon" veld van een gebruiker in AD. Vervelende eigenschap van dit veld is dat het niet repliceert naar andere domeincontrollers en dus, om de echte laatste login datum van een account te zien, moet je op alle DC's kijken.

Hoe ik het oplos;
Query AD om alle DC namen op te halen. Query elke DC voor "sAMAccountName" en "lastLogon" van elke gebruiker en zet dit in een array voor elke DC. Vergelijk de arrays om per user de meest recente datum te vinden. output naar .csv.

h2h,
Sem

donderdag 22 december 2011 07:59

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ugh... je weet dat je sinds 2003 ook een LastlogonTimestamp waarde hebt?

[ Voor 46% gewijzigd door alt-92 op 22-12-2011 08:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 22 december 2011 19:31

Acties:
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 29-11 14:41

Semt-x

@alt-92 ja, dat veld synchroniseert welliswaar over DC's, maar doet dat slechts eens in de zoveel weken.
De beschreven routine heb ik geschreven toen ik het "real time" wilde zien, net als de tool die Dronium aandroeg.

donderdag 22 december 2011 19:36

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 01:10

DukeBox

loves wheat smoothies

Dit kan je toch gewoon middels de audits doen via een gpo ?

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 22 december 2011 22:00

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Precies, als je realtime logon monitoring wil hebben kun je beter je security logs aggregeren (want niet alle logon types laten LL netjes zien) in plaats van een legacy LastLogon stamp uitlezen op al je DC's ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq