Как мониторить состояние текущих учетных записей?

Dem

Guest

Это нравится:0 Да/0 Нет

20.09.2005 13:17:42

Исходные данные: Сетка с кучей компов больше 100 в... неважно, вообщем бегать по всем компам нереально.
Задача: отслеживать по сетке появление новых учетных записей и изменение статуса существующих. Есть ли прога или скрипт для этих целей?
Так чтоб слала мессаги если происходит Бо-бо!

)

offtopic Editor Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003	#2 Это нравится:0 Да/0 Нет 20.09.2005 13:23:06 Любой HIDS или парсер логов (например GFI) это умеет. Или скриптами Шаблоны для скрптов.

ZOR Guest	#3 Это нравится:0 Да/0 Нет 20.09.2005 13:47:37 Статья “Фильтрация данных журналов безопасности” должна тебе помочь.

qwestor Guest	#4 Это нравится:0 Да/0 Нет 20.09.2005 13:56:32 А что нельзя АД завести и не давать пользователям соответствующих прав, а лучше скриптом при выключении компа килять всех пользователей локальных (несистемных)

ZOR Guest	#5 Это нравится:0 Да/0 Нет 20.09.2005 14:03:00 Так можно и в GPO “Restricted Group” настроить, но вопрос про “отслеживание” и предупреждения.

Dem Guest	#6 Это нравится:0 Да/0 Нет 20.09.2005 14:03:49 Пока низзя. Кстати а кто-нить киньте линку на нормальную доку по АД? Буду очень благодарен! Всем спасибо! Но вопрос пока не снят!

ZOR

Guest

Это нравится:0 Да/0 Нет

20.09.2005 14:08:05

Таки и это не подходит

Код

Листинг 4. Команда для извлечения информации о членах, добавленных в группы.

logparser "SELECT 
RESOLVE_SID(REPLACE_CHR(EXTRACT_TOKEN(Strings,4,'|'),'{}%','')) AS Group, 
RESOLVE_SID(REPLACE_CHR(EXTRACT_TOKEN(Strings,1,'|'),'{}%','')) AS 
NewMember, RESOLVE_SID(SID) AS AddedBy, TimeGenerated FROM security WHERE 
EventID IN (660;632;636) ORDER BY NewMember, Group"

nester Guest	#8 Это нравится:0 Да/0 Нет 20.09.2005 14:08:14 http://networkdoc.ru

qwestor

Guest

Это нравится:0 Да/0 Нет

20.09.2005 14:17:39

Цитата
ZOR пишет: Так можно и в GPO “Restricted Group” настроить, но вопрос про “отслеживание” и предупреждения.

Ограниченные группы помогут только чтобы не было принадлежности той или иной группе, но не предотвратят создания учетных записей пользователей с правами админа

ZOR

Guest

#10

Это нравится:0 Да/0 Нет

20.09.2005 14:22:08

Про “Restricted Group” это к теме

Цитата
скриптом при выключении компа килять всех пользователей локальных (несистемных)

. А так после очередного применения GPO все вернётся в нужный вид.

ZOR

Guest

#11

Это нравится:0 Да/0 Нет

20.09.2005 18:24:21

Цитата
Dem пишет: Кстати а кто-нить киньте линку на нормальную доку по АД?

Книга в PDF
"Active Directory для Windows Server 2003. Справочник администратора"

qwestor

Guest

#12

Это нравится:0 Да/0 Нет

21.09.2005 09:25:47

Цитата
ZOR пишет: Про “Restricted Group” это к теме скриптом при выключении компа килять всех пользователей локальных (несистемных) . А так после очередного применения GPO все вернётся в нужный вид.

Интересно с каких это пор ограниченные группы научились убивать пользователей, а не исключать из групп?

ZOR Guest	#13 Это нравится:0 Да/0 Нет 21.09.2005 10:03:15 А какая польза от учетки без групп?

lw+

Guest

#14

Это нравится:0 Да/0 Нет

22.09.2005 16:16:20

Цитата
появление новых учетных записей и изменение статуса

А зачем мне создавать новую учетку если сумел востанавить админский пароль? с ним и буду рабтатть. Посоветывать толкь одно можно боротся с получением этого пароля. Ну там физический досту, длинный и сложный пароль, загрузка с других насителий и т.д и т.п. Можно еще о КД подумать, хотя если предыдушие не выпольнять то врядли стоит.

offtopic

Editor

Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003

#15

Это нравится:0 Да/0 Нет

22.09.2005 16:38:19

Цитата
lw+ пишет: А зачем мне создавать новую учетку если сумел востанавить админский парол

и вход от локальных учетных записей, и от записей с административными привелегиями тоже ведь можно мониторить, ведь правда?

lw+

Guest

#16

Это нравится:0 Да/0 Нет

22.09.2005 16:53:39

Цитата
и вход от локальных учетных записей, и от записей с административными привелегиями тоже ведь можно мониторить

Да, конечно. Только наверно надо не локално, а то добравшис до локального админа их можно будет и под(чистить/править)

ZOR Guest	#17 Это нравится:0 Да/0 Нет 22.09.2005 17:03:31 Включаешь “Remote Registry Service” и делаешь в logparser FROM \\remoteMachin\Security

offtopic

Editor

Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003

#18

Это нравится:0 Да/0 Нет

22.09.2005 17:15:05

Цитата
lw+ пишет: добравшис до локального админа

Кончено удаленно, собирать и парсить.

Продвинутый руткит может не писать в логи записи, но это продвинутый руткит. Тем паче, перед тем как его установить, надо сначала в систему войти.

LiLO

Guest

#19

Это нравится:0 Да/0 Нет

23.09.2005 00:19:42

Я бы не включал Remote Registry. Так как машин много, я бы сделал скрипт для локальной машины, кторый бы делал dir /b /a:d на %ProfileDir% чтобы узнать какими учетками лодгинятся на каждой машине локально, затем этим же скрипто делал попытку подключиться к локальному ipc$ с логином и паролем каждого пользователя. Дополнительно проводил бы запросы net localgroup/ net user/ net localgroup administrators. Полученные данные собирал бы в текстовый файл и передавал на сервер. Все это зашедулить Task Manager на сервере и запускать когда надо на каждом компе путем psexec \\machinename cmd /c myscript.cmd -d или какие там параметры (не помню) чтобы не ждать выполнения.

очень рекомендую скомпилять бинарник вместо скрипта, чтобы пользователи не могли менять такие скрипты и читать их, загружаясь с LiveCD/
На сервере можно запустить vbs скрипт мониторящий папку с приходящими файлами и выполняющий другой скрипт на событие изменения размера папки.

Криво, но выход. (первое пока что на ум пришло по твоей задаче)

nester Guest	#20 Это нравится:0 Да/0 Нет 23.09.2005 09:36:19 сам х%й ногу сломит задолбаешься анализировать собранные файлы к ним потом ещё и парсер писать (сторонний прикручивать), гимор ИМХО

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?