Uitdaging: zoek RunAs dwarsliggers
-
- Premium Member
- Berichten: 491
- Lid geworden op: 22 dec 2004, 14:17
- Uitgedeelde bedankjes: 5 keer
- Bedankt: 54 keer
Ik heb wellicht een aantal programma's op mijn pc (of services, of scheduled tasks, ...) via RunAs onder mijn account en paswoord laten lopen. Mijn Windows paswoord werd recent gewijzigd, maar die programma's blijven doorlopen met het oude paswoord waardoor mijn pc telkens weer meerdere keren per dag vastloopt door een paswoord dat in de achtergrond drie keer ongeldig werd opgegeven (account locked out). Hoe kan ik makkelijk die dwarsliggers vinden? Heb me al suf gezocht.
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 434 keer
- Bedankt: 1972 keer
In je EventViewer moet je hier toch sporen van hebben... zie je niet welk proces je account disabled daar ?
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 434 keer
- Bedankt: 1972 keer
Maar je hebt toch een entry van je account dat disabled wordt... post hiervan eens de volledige details.
- selder
- Moderator
- Berichten: 6438
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 106 keer
- Bedankt: 736 keer
Les 1: zo’n scheduled tasks(of vergelijkbaar) nooit onder jouw user-account laten lopen, maar onder een service account, en documenteren documenteren documenteren, desnoods in een TXT file in de root.
Auditing aanzetten op je DC, maar dan nog, ik vrees ervoor dat je dan alleen nog zal zien van welke host die 3 slechte passwords komen, en niet à la “dit script op deze host”. Je kan dan wel aan de timestamp in de lokale eventviewer gaan neuzen, maar het blijft manueel werk.
Zelfs 3rd party tools gaan je niet verder kunnen helpen vrees ik.
Auditing aanzetten op je DC, maar dan nog, ik vrees ervoor dat je dan alleen nog zal zien van welke host die 3 slechte passwords komen, en niet à la “dit script op deze host”. Je kan dan wel aan de timestamp in de lokale eventviewer gaan neuzen, maar het blijft manueel werk.
Zelfs 3rd party tools gaan je niet verder kunnen helpen vrees ik.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
- meon
- Administrator
- Berichten: 16729
- Lid geworden op: 18 feb 2003, 22:02
- Twitter: meon
- Locatie: Bree
- Uitgedeelde bedankjes: 574 keer
- Bedankt: 770 keer
Services > Zoek services die op Automatic staan, maar niet started zijn, kijk naar de kolom "Log On As" welke user gebruikt wordt
Scheduled tasks > PS>Get-ScheduledTask | select taskname, @{label='userid';expression={$_.principal.userid}}
Scripts > Notepad++, CTRL+F, Find in files: En dan hoop ik dat je je wachtwoord niet als secure string hebt opgeslagen.
Scheduled tasks > PS>Get-ScheduledTask | select taskname, @{label='userid';expression={$_.principal.userid}}
Scripts > Notepad++, CTRL+F, Find in files: En dan hoop ik dat je je wachtwoord niet als secure string hebt opgeslagen.
-
- Elite Poster
- Berichten: 1268
- Lid geworden op: 14 mei 2008, 15:36
- Locatie: Bevergem :-)
- Uitgedeelde bedankjes: 249 keer
- Bedankt: 170 keer
Start regedit en zoek naar je domein\usernaam
Hiermee zoek je ook naar services, autoruns, dcom en com+ entries
Pas natuurlijk wel op in regedit...
Hiermee zoek je ook naar services, autoruns, dcom en com+ entries
Pas natuurlijk wel op in regedit...