none
Jak logovat přístupy z počítačů které nejsou členem domény?

    Dotaz

  • Dobrý den,

    potřeboval bych odhalit klientské stanice v síti, které nejsou členem domény windows, avšak přistupují k doménovým prostředkům - sdílené složky atd. Uživatel je požádán o zadání doménového jména a hesla a po jeho zadání je autentikován vůči doméně, tudíž v logu (na DC) nenaleznu nic, podle čeho by šlo vysledovat, že počítač z kterého se uživatel připojuje je členem skupiny a není v doméně.

    Netušíte někdo jakým způsobem se dá logovat příslušnost klientů k doméně?

    Doména je 2003

    Děkuji

    18. dubna 2011 9:00

Odpovědi

  • EventID 680 ve W2K3 nebo 4776 ve W2K8(R2) obsahuje jak jmeno uzivatele, tak i jmeno stanice. Je tedy mozne skriptem vypreparovat nazev stanice a porovnat se seznamem jmen domenovych pocitacu a vysledkem by byla informace nebo mail obsahujici nazev stanice.
    • Označen jako odpověď Jan Bilek 20. dubna 2011 10:43
    19. dubna 2011 16:06
    Vlastník

Všechny reakce

  • Proste si vyjed vsech domenovych pocitacu a overuj zda stanice ze ktere se uzivatel pripojuje je ci neni v seznamu

     

    MP

    18. dubna 2011 11:57
    Vlastník
  • Ak su PC v domene, na autentizaciu uzivatela sa pouziva Kerberos autentizacny protokol. Ak sa uzivatel pripaja z PC, ktore je vo workgroupe, pouzije sa NTLM autentizacny protokol ( v idealnom pripade NTLMv2 ). V Security Logu na DC by ste to mali vidiet ako EventID 680/681, ak si dobre pamatam. Problemom tu asi bude, ze sa autentizuje uzivatel, nie PC, a preto tu nenajdete informacie, z akeho PC sa to uzivatel pripajal ...

    Napadaju ma tieto riesenia :

    1. Zapnut na servroch firewall a logovat pristup ( zrejme uvidite len IP adresu, takze potom hladat podla MAC adresy na DHCP ... Hooooodne neprakticke ... )
    2. Na aktivnych switchoch filtrovat podla MAC adresy ( alebo aspon logovat ... )
    3. Nasadit NAP ( Network Access Protection ) - jeden Windows Server 2008 a nakonfigurovat NAP enfrcement ( NAP/802.1X, NAP/IPSec ).
    4. Pouzit IPSec ( toto riesenie sa mne osobne paci najviac ) - IPSec je riesenie ktore na urovni IP vrstvy autentizuje PC medzi sebou, takze vy mate moznost vidiet, "kto je kto". Uvazoval by som mozno o IPSec AH ( =Authentication Header ), kedy nemusite komunikaciu nevyhnutne sifrovat, staci, ze viete z akeho PC komunikacia prichadza ( a ze sa naozaj pripajate na podnikovy server ... ). V pripade pouzita autentizacneho mechanizmu cez PSK ( Pre-Shared Key ) je to relativne jednoduche, nenakladne riesenie, ktrore umozni pripojit aj ( vybrane ) workgroupove stroje. Pripadne, ak chcete nedomenove PC uplne odfiltrovat, skuste zvazit IPSec riesenie s nazvom "Domain Isolation", resp. "Server Isolation".

     

    Boris

    19. dubna 2011 5:48
  • EventID 680 ve W2K3 nebo 4776 ve W2K8(R2) obsahuje jak jmeno uzivatele, tak i jmeno stanice. Je tedy mozne skriptem vypreparovat nazev stanice a porovnat se seznamem jmen domenovych pocitacu a vysledkem by byla informace nebo mail obsahujici nazev stanice.
    • Označen jako odpověď Jan Bilek 20. dubna 2011 10:43
    19. dubna 2011 16:06
    Vlastník