CheckPoint: Managing ADQuery Suspected Service Account List

Solltet Ihr Identity Awareness [IA] mit ADQuery im Einsatz haben könnt Ihr die Option “Automtically exclude users wich are logged into more than X machines simultaneously” aktivieren. Oder ihr müsst eure Windows Admins oder Servicedesk Mitarbeiter manuell vom ADQuery ausschließen [Excluded Users/Networks]. Warum ?
Sobald ein Benutzer ein “AD Security Login Event”  auslöst lernt die Firewall die IP Adresse des Benutzers und weist die entsprechende FW-Freischaltung die an dem AD-Konto gebunden ist dem System zu. Das kann durch die Anmeldung an einem System einer RDP Session, Zugriff auf Netzlaufwerke, Exchange oder sonstige Authentifizierung an der Domäne geschehen. Ein Admin loggt sich auf einer Vielzahl von Systemen ein und hat meistens andere Firewallfreischaltungen als ein normaler Anwender. Durch die Anmeldung auf einem System zu Support zwecken greifen jetzt also auch die FW-Freischaltunen des Admins. Um dieses zu verhindern solltet ihr die Service Accounts vom ADQuery ausschließen. Wird doch mal von einem Admin die Freischaltungen auf einem der Systeme benötigt kann dieser ich sich über das Captive Portal authentifizieren.
Solltet Ihr die Option “automatically exclude users” aktiviert haben sucht IA alle 10min nach “service accounts”.  Die vermutlichen “service accounts” werden in einer persistenten Datenbank gespeichert die auch einen Reboot überlebt.  Es ist es auf jeden Fall sehr hilfreich sehen zu können welche Benutzer auf dieser Liste stehen ggf. sobald mal einen von dieser Liste zu entfernen. Um die “service account” Datenbank einsehen und verwalten zu können stehen euch folgende Befehle im Expert-Mode zur Verfügung.