R33NET BLOG Rotating Header Image

Identity

CheckPoint: Managing ADQuery Suspected Service Account List

Solltet Ihr Identity Awareness [IA] mit ADQuery im Einsatz haben könnt Ihr die Option „Automtically exclude users wich are logged into more than X machines simultaneously“ aktivieren. Oder ihr müsst eure Windows Admins oder Servicedesk Mitarbeiter manuell vom ADQuery ausschließen [Excluded Users/Networks]. Warum ?
Sobald ein Benutzer ein „AD Security Login Event“  auslöst lernt die Firewall die IP Adresse des Benutzers und weist die entsprechende FW-Freischaltung die an dem AD-Konto gebunden ist dem System zu. Das kann durch die Anmeldung an einem System einer RDP Session, Zugriff auf Netzlaufwerke, Exchange oder sonstige Authentifizierung an der Domäne geschehen. Ein Admin loggt sich auf einer Vielzahl von Systemen ein und hat meistens andere Firewallfreischaltungen als ein normaler Anwender. Durch die Anmeldung auf einem System zu Support zwecken greifen jetzt also auch die FW-Freischaltunen des Admins. Um dieses zu verhindern solltet ihr die Service Accounts vom ADQuery ausschließen. Wird doch mal von einem Admin die Freischaltungen auf einem der Systeme benötigt kann dieser ich sich über das Captive Portal authentifizieren.
Solltet Ihr die Option „automatically exclude users“ aktiviert haben sucht IA alle 10min nach „service accounts“.  Die vermutlichen „service accounts“ werden in einer persistenten Datenbank gespeichert die auch einen Reboot überlebt.  Es ist es auf jeden Fall sehr hilfreich sehen zu können welche Benutzer auf dieser Liste stehen ggf. sobald mal einen von dieser Liste zu entfernen. Um die „service account“ Datenbank einsehen und verwalten zu können stehen euch folgende Befehle im Expert-Mode zur Verfügung.

adlog a control srv_accounts show Alle erkannten „service account“ anzeigen lassen
adlog a control srv_accounts find Den „service account“ Scan sofort starten
Adlog a control srv_accounts unmark <account name> Einen „service account“ aus der Datenbank löschen
adlog a conrol srv_accounts clear Alle „service account“ aus der Datenbank löschen
adlog a control reconf Wenn adlog a conrol ausgeführt wurde muss „reconf“ ausgeführt werden um die Änderungen zu speichern.

 

 

CheckPoint: Löschen alle Identity Awareness Sessions und Identitäten

Aus den verschiedensten Gründen kann es mal vorkommen da alle Identity Awareness Verbindungen und gelernte Identitäten aus der Datenbank gelöscht werden müssen.
ACHTUNG:
-In ClusterXL Umgebungen müssen die Befehle auf beiden Cluster-Geräten zeitgleich ausgeführt werden da diese zwischen den ClusterXL nodes synchronisiert werden.
-Da eine erneute „Authentifizierung“ der Clients erforderlich ist sollte das selbstverständlich nur in einem Wartungsfenster durchgeführt werden.

Clearing all Identity Awareness kernel tables:

[Expert@hostname]# fw tab -t pdp_sessions -t pdp_super_sessions -t pdp_encryption_keys -t pdp_whitelist -t pdp_timers -t pdp_expired_timers -t pdp_ip -t pdp_net_reg -t pdp_net_db -t pdp_cluster_stat -t pep_pdp_db -t pep_networks_to_pdp_db -t pep_net_reg -t pep_reported_network_masks_db -t pep_port_range_db -t pep_async_id_calls -t pep_client_db -t pep_identity_index -t pep_revoked_key_clients -t pep_src_mapping_db -t pep_log_completion -x -y

[Expert@hostname]# fw kill pdpd
[Expert@hostname]# fw kill pepd