Uitdaging: zoek RunAs dwarsliggers

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
wimpie3
Premium Member
Premium Member
Berichten: 491
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 54 keer

Ik heb wellicht een aantal programma's op mijn pc (of services, of scheduled tasks, ...) via RunAs onder mijn account en paswoord laten lopen. Mijn Windows paswoord werd recent gewijzigd, maar die programma's blijven doorlopen met het oude paswoord waardoor mijn pc telkens weer meerdere keren per dag vastloopt door een paswoord dat in de achtergrond drie keer ongeldig werd opgegeven (account locked out). Hoe kan ik makkelijk die dwarsliggers vinden? Heb me al suf gezocht.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

In je EventViewer moet je hier toch sporen van hebben... zie je niet welk proces je account disabled daar ?
wimpie3
Premium Member
Premium Member
Berichten: 491
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 54 keer

Helaas niet, account wordt geblokkeerd op server niveau.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Maar je hebt toch een entry van je account dat disabled wordt... post hiervan eens de volledige details.
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Les 1: zo’n scheduled tasks(of vergelijkbaar) nooit onder jouw user-account laten lopen, maar onder een service account, en documenteren documenteren documenteren, desnoods in een TXT file in de root.

Auditing aanzetten op je DC, maar dan nog, ik vrees ervoor dat je dan alleen nog zal zien van welke host die 3 slechte passwords komen, en niet à la “dit script op deze host”. Je kan dan wel aan de timestamp in de lokale eventviewer gaan neuzen, maar het blijft manueel werk.

Zelfs 3rd party tools gaan je niet verder kunnen helpen vrees ik.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16729
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 574 keer
Bedankt: 770 keer

Services > Zoek services die op Automatic staan, maar niet started zijn, kijk naar de kolom "Log On As" welke user gebruikt wordt
Scheduled tasks > PS>Get-ScheduledTask | select taskname, @{label='userid';expression={$_.principal.userid}}

Scripts > Notepad++, CTRL+F, Find in files:
notepad++_2018-11-12_10-36-24.png
En dan hoop ik dat je je wachtwoord niet als secure string hebt opgeslagen.
johan.devos
Elite Poster
Elite Poster
Berichten: 1268
Lid geworden op: 14 mei 2008, 15:36
Locatie: Bevergem :-)
Uitgedeelde bedankjes: 249 keer
Bedankt: 170 keer

Start regedit en zoek naar je domein\usernaam
Hiermee zoek je ook naar services, autoruns, dcom en com+ entries
Pas natuurlijk wel op in regedit...
Plaats reactie

Terug naar “Software en apps”