locked
Identifier les comptes de service RRS feed

  • Question

  • Bonjour,

    On m'a demander d'indentifier l'usage qui est fait des comptes de services sur les serveurs 2003.

    Évidemment, les comptes de services sont seulement identifier par leur nom (SRVCxxxxx) mais sans plus d'information sur la personne en étant responsable ou leur but. (ca serait trop simple)

    A partir des évènements de sécurité, j'arrive à avoir une liste des comptes connectés au serveurs mais je ne sais pas qu'elle application sont utilisé (SQL / IIS / application dédié...)

    Y-a-t'il une façon de récupérer ses informations de façon à peu près synthétique. (sachant que je n'ai pas besoin de connaitre les accès du compte à des ressources externe au serveur.

    Merci d'avance de l'aide que vous voudrez bien m'apporter.

    Eric Osi

    jeudi 15 avril 2010 07:57

Réponses

  • Bonjour,

    Vous pouvez utiliser la command WMIC afin de lister les informations relatives au services sur chaque machine et ce de manière structurée. L'utilsiation d'un format de type CSV ou XML vous permettra une analyse plus aisée sous Excel par exemple.

    Exemple de base: wmic service get name,systemname,startname

    Controler le format avec les option /output et /format

    Exécuter contre diverse machines distante grâce à /node

    Plus d'info: http://technet.microsoft.com/en-us/magazine/2006.09.wmidata.aspx

    Bien que ce ne soit pas à proprement parler son usage principal, l'outil de migration ADMT permet également d'effectuer un inventaire des comptes de service mais sa mise en oeuvre est plus lourde.


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Proposé comme réponse Marc Lognoul vendredi 16 avril 2010 10:26
    • Marqué comme réponse Eric Osi jeudi 22 avril 2010 13:26
    vendredi 16 avril 2010 10:26
  • Bonjour,

    Je ne vois guère d'autre moyen que d'auditer les ouvertures de session et ensuite, au cas par cas, analyser le type de logon, en se focalisant sur les types 3 (réseau, type partage de fichiers, SQL etc...), 4 (plannificateur de tâche/Batch), 5 (Service) et 8 (réseau avec credentials en clair).

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Marqué comme réponse Eric Osi jeudi 22 avril 2010 13:26
    lundi 19 avril 2010 10:31

Toutes les réponses

  • Bonjour,

    Vous pouvez utiliser la command WMIC afin de lister les informations relatives au services sur chaque machine et ce de manière structurée. L'utilsiation d'un format de type CSV ou XML vous permettra une analyse plus aisée sous Excel par exemple.

    Exemple de base: wmic service get name,systemname,startname

    Controler le format avec les option /output et /format

    Exécuter contre diverse machines distante grâce à /node

    Plus d'info: http://technet.microsoft.com/en-us/magazine/2006.09.wmidata.aspx

    Bien que ce ne soit pas à proprement parler son usage principal, l'outil de migration ADMT permet également d'effectuer un inventaire des comptes de service mais sa mise en oeuvre est plus lourde.


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Proposé comme réponse Marc Lognoul vendredi 16 avril 2010 10:26
    • Marqué comme réponse Eric Osi jeudi 22 avril 2010 13:26
    vendredi 16 avril 2010 10:26
  • Bonjour,

     

    Votre solution répond en partie à mon problème, mais j'ai aussi besoin d'identifier les comptes qui ne sont pas directement lié à un service Windows, comme les comptes des tâches planifiées et surtout les comptes d'accès aux ressources utilisé dans des applications (par impersonnalisation).

     

    Par exemple, un compte utilisé par une application ASP pour accèder à un moment donnée à une ressource (SQL/AD/partage/...)

     

    Cordialement,

    Eric Osi

     

    lundi 19 avril 2010 08:12
  • Bonjour,

    Je ne vois guère d'autre moyen que d'auditer les ouvertures de session et ensuite, au cas par cas, analyser le type de logon, en se focalisant sur les types 3 (réseau, type partage de fichiers, SQL etc...), 4 (plannificateur de tâche/Batch), 5 (Service) et 8 (réseau avec credentials en clair).

     


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    • Marqué comme réponse Eric Osi jeudi 22 avril 2010 13:26
    lundi 19 avril 2010 10:31
  •  

    Bonjour Eric,

    Si vous avez un serveur Windows Server 2008 à la main, vous pouvez utiliser : Get -ADServiceAccount

    e.g.

    Get-ADServiceAccount -Filter 'Name -like "*"' | FT Name,HostComputers –A

    Get-ADServiceAccount –Filter {HostComputers –eq “SQL-Server-1” }

    de l’article « Comment trouver ‘Managed Service Accounts’ » de la librairie TechNet : http://technet.microsoft.com/en-us/library/dd378824(WS.10).aspx

    ‘Finding Managed Service Accounts per Computer’

    http://technet.microsoft.com/en-us/library/dd391851(WS.10).aspx

    http://technet.microsoft.com/en-us/library/dd378925(WS.10).aspx

     

    Cordialement,

    Roxana


    Roxana Panait, MSFT ________ Votez l’article qui vous est utile ou postez un pour participer au concours : Appel a la contribution! Publiez un tip ou un petit tutorial (comment faire) sur la technologie que vous connaissez le mieux ! - http://social.technet.microsoft.com/Forums/fr-FR/1635/thread/c0fc6847-a4b0-4253-85e9-8eac0cc95aa0
    mardi 20 avril 2010 08:24