Uitdaging: zoek RunAs dwarsliggers

wimpie3
Pro Member
Pro Member
Berichten: 408
Lid geworden op: 22 Dec 2004
Bedankt: 47 keer
Uitgedeelde bedankjes: 3 keer

Uitdaging: zoek RunAs dwarsliggers

Berichtdoor wimpie3 » 12 Nov 2018, 07:52

Ik heb wellicht een aantal programma's op mijn pc (of services, of scheduled tasks, ...) via RunAs onder mijn account en paswoord laten lopen. Mijn Windows paswoord werd recent gewijzigd, maar die programma's blijven doorlopen met het oude paswoord waardoor mijn pc telkens weer meerdere keren per dag vastloopt door een paswoord dat in de achtergrond drie keer ongeldig werd opgegeven (account locked out). Hoe kan ik makkelijk die dwarsliggers vinden? Heb me al suf gezocht.

ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 Okt 2003
Bedankt: 1995 keer
Uitgedeelde bedankjes: 446 keer

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor ubremoved_539 » 12 Nov 2018, 08:09

In je EventViewer moet je hier toch sporen van hebben... zie je niet welk proces je account disabled daar ?

wimpie3
Pro Member
Pro Member
Berichten: 408
Lid geworden op: 22 Dec 2004
Bedankt: 47 keer
Uitgedeelde bedankjes: 3 keer

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor wimpie3 » 12 Nov 2018, 09:04

Helaas niet, account wordt geblokkeerd op server niveau.

ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 Okt 2003
Bedankt: 1995 keer
Uitgedeelde bedankjes: 446 keer

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor ubremoved_539 » 12 Nov 2018, 09:08

Maar je hebt toch een entry van je account dat disabled wordt... post hiervan eens de volledige details.

Gebruikersavatar
selder
Moderator
Moderator
Berichten: 5795
Lid geworden op: 29 Jun 2005
Locatie: Tienen
Bedankt: 636 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 83 keer

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor selder » 12 Nov 2018, 09:44

Les 1: zo’n scheduled tasks(of vergelijkbaar) nooit onder jouw user-account laten lopen, maar onder een service account, en documenteren documenteren documenteren, desnoods in een TXT file in de root.

Auditing aanzetten op je DC, maar dan nog, ik vrees ervoor dat je dan alleen nog zal zien van welke host die 3 slechte passwords komen, en niet à la “dit script op deze host”. Je kan dan wel aan de timestamp in de lokale eventviewer gaan neuzen, maar het blijft manueel werk.

Zelfs 3rd party tools gaan je niet verder kunnen helpen vrees ik.
Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16042
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 603 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 511 keer
Contact:

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor meon » 12 Nov 2018, 10:37

Services > Zoek services die op Automatic staan, maar niet started zijn, kijk naar de kolom "Log On As" welke user gebruikt wordt
Scheduled tasks > PS>Get-ScheduledTask | select taskname, @{label='userid';expression={$_.principal.userid}}

Scripts > Notepad++, CTRL+F, Find in files:
notepad++_2018-11-12_10-36-24.png


En dan hoop ik dat je je wachtwoord niet als secure string hebt opgeslagen.

johan.devos
Elite Poster
Elite Poster
Berichten: 916
Lid geworden op: 14 Mei 2008
Locatie: Bevergem :-)
Bedankt: 108 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 152 keer

Re: Uitdaging: zoek RunAs dwarsliggers

Berichtdoor johan.devos » 12 Nov 2018, 12:44

Start regedit en zoek naar je domein\usernaam
Hiermee zoek je ook naar services, autoruns, dcom en com+ entries
Pas natuurlijk wel op in regedit...


Terug naar “Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten