{"id":15054,"date":"2021-09-06T21:12:58","date_gmt":"2021-09-06T19:12:58","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=15054"},"modified":"2022-03-31T11:23:05","modified_gmt":"2022-03-31T09:23:05","slug":"adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/","title":{"rendered":"Adsisearcher &#8211; Get the Object of Interest: Suchen nach spezifischen Usern und Computern"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/#Object_of_Interest_Last_Logon\" >Object of Interest: Last Logon<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/#Object_of_Interest_Time_of_Creation\" >Object of Interest: Time of Creation<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/#Object_of_Interest_SPN_Account\" >Object of Interest: SPN Account<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/#Object_of_Interest_Computer\" >Object of Interest: Computer<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/#Serienuebersicht\" >Serien\u00fcbersicht<\/a><\/li><\/ul><\/nav><\/div>\n<p>Wie findet man ein spezifisches \u201cObject of Interest\u201d oder auch mehrere Objekte, die bestimmte Eigenschaften besitzen? Die Antwort hierauf ist so logisch wie einfach: man muss die richtigen Suchfilter kennen und angeben.<\/p>\n<p>Zun\u00e4chst gilt es zu unterscheiden, ob man nach einer Person oder nach einem Computer sucht. Hierbei bietet es sich an, nach den Attributen objectclass und objectcategory zu suchen. W\u00e4hrend objectClass die Einordnung von User-Objekten in der Klassenhierarchie des Active Directory Schemas darstellt, hilft objectCategory als Zusatz zur Information der Objektklasse lediglich bei der Einordnung. objectClass ist hierbei ein Array, dass f\u00fcr User immer wie folgt aussieht:<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-15055\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b1-300x15.png\" alt=\"\" width=\"1360\" height=\"68\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1-300x15.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1-768x38.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1-48x2.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b1.png 840w\" sizes=\"(max-width: 1360px) 100vw, 1360px\" \/><\/p>\n<p>und f\u00fcr Computer noch den Zus\u00e4tzlichen Wert computer enth\u00e4lt:<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-15056\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b2-300x15.png\" alt=\"\" width=\"1360\" height=\"68\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2-300x15.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2-768x38.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2-48x2.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b2.png 840w\" sizes=\"(max-width: 1360px) 100vw, 1360px\" \/><\/p>\n<p>Die im Array zuletzt angegebene Klasse ist die \u201cstructural class\u201d (=Hauptklasse) und repr\u00e4sentiert die eigentliche Objektklasse. Betrachtet man die beiden Attribute, so f\u00e4llt auf, dass bei einer Suche nach der Objektklasse User wie im Beispiel sowohl Computerobjekte, als auch Userobjekte in der SearchResultCollection (= die Ergebnisse) enthalten sein werden.<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-15058\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b3-300x26.png\" alt=\"\" width=\"1362\" height=\"118\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-1536x133.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-2048x177.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b3-48x4.png 48w\" sizes=\"(max-width: 1362px) 100vw, 1362px\" \/><\/p>\n<p>Aus diesem Grund nutzt man als zus\u00e4tzliche Angabe im Suchfilter die objectCategory. Es handelt sich um eine Single Value Eigenschaft, die dem Datentyp des Distinguished Name entspricht. Der Wert ist entweder der Distinguished Name der Klasse, von der das Objekt eine Instanz ist, oder einer ihrer Oberklassen. Wenn ein Objekt erstellt wird, setzt das System seine objectCategory auf den Wert, der in der defaultObjectCategory-Eigenschaft der Objektklasse angegeben ist. Der Wert kann nicht ge\u00e4ndert werden. Im Beispiel sieht man die objectCategory eines Users:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15059\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b4-300x15.png\" alt=\"\" width=\"1360\" height=\"68\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4-300x15.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4-768x38.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4-48x2.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b4.png 840w\" sizes=\"(max-width: 1360px) 100vw, 1360px\" \/><\/p>\n<p>Interessant ist an dieser Stelle, dass in der Filter-Syntax direkt der pure Kategoriename als objectCategory Wert verwendet werden kann &#8211; also objectCategory=Person statt objectCategory=CN=Person,CN=Schema,CN=Configuration,DC=example,DC=com. Dies ist bei anderen Attributen des Datentyps Distinguished Name nicht m\u00f6glich. Der richtige Filter, um alle User mittels objectClass und objectCategory zu finden, w\u00e4re daher:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15060\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b5-300x16.png\" alt=\"\" width=\"1369\" height=\"73\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-300x16.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-1024x56.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-768x42.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b5-48x3.png 48w\" sizes=\"(max-width: 1369px) 100vw, 1369px\" \/><\/p>\n<p>F\u00fcr Computer kann man dem entsprechend diese Suche verwenden:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15061\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b6-300x25.png\" alt=\"\" width=\"1368\" height=\"114\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-300x25.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-1024x86.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-768x64.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-1536x129.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-2048x172.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b6-48x4.png 48w\" sizes=\"(max-width: 1368px) 100vw, 1368px\" \/><\/p>\n<p>Die Suche nach Usern mit dem Filter (&amp;(objectClass=user)(objectCategory=person)) wird auch oft vorgeschlagen, wenn man im Internet nach ldap-Suchfiltern sucht. Sie funktioniert, allerdings ist sie ineffizient und verbraucht relativ viel Server-Leistung. Das liegt daran, dass die Filterkriterien \u201cobjectClass\u201d und \u201cobjectCategory\u201d die technische Suche in der AD-Datenbank f\u00fcr den Server komplexer machen. Je mehr User in einer Domain sind, umso relevanter wird die Sucheffizienz. Alternativ kann man den Filter sAMAccountType=805306368 verwenden. F\u00fcr das Attribut sAMAccountName gibt es einige Hexadezimalwerte, die jeweils einen Accounttypen ausweisen. F\u00fcr Objekte des Typs User (SAM_USER_OBJECT) ist dieser Wert 0x30000000.<a href=\"#_edn1\" name=\"_ednref1\">[1]<\/a> Rechnet man diesen Wert in einen Dezimalwert um, erh\u00e4lt man den Wert 805306368. Bei User Objekten ist der sAMAccountType Wert daher immer 805306368 und ist in der Active Directory Datenbank f\u00fcr schnelle Suchvorg\u00e4nge indiziert. Mit folgendem Befehl kann man also effektiver nach allen Usern in der Domain suchen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15062\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b7-300x16.png\" alt=\"\" width=\"1369\" height=\"73\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-300x16.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-1024x56.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-768x42.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b7-48x3.png 48w\" sizes=\"(max-width: 1369px) 100vw, 1369px\" \/><\/p>\n<p>Oft m\u00f6chte man jedoch bestimmte User mit spezifischen Eigenschaften suchen. Dazu kann der Zeitraum geh\u00f6ren, in dem ein User zuletzt eingeloggt war, der Zeitraum, in dem ein User erstellt wurde, oder ob ein User ein SPN (Service Principal Name) Account, also ein Service Account ist. Dies kann man mit Abfragen der den Objekten zugeordneten Attributen machen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Object_of_Interest_Last_Logon\"><\/span>Object of Interest: Last Logon<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>M\u00f6chte man wissen, wann sich ein User zuletzt eingeloggt hat, kann man das mit dem Attribut lastLogon ermitteln. Der Wert des Attributs wird als Windows File Time angegeben, z.B.:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15063\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b8-300x21.png\" alt=\"\" width=\"1357\" height=\"95\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8-300x21.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8-768x53.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8-48x3.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b8.png 840w\" sizes=\"(max-width: 1357px) 100vw, 1357px\" \/><\/p>\n<p>Hierbei handelt es sich um einen 64-bit Wert, der die Anzahl an 100-Nanosekundenintervallen angibt, die seit 12:00 Mitternacht, 1. Januar 1601 (UTC) verstrichen sind.<a href=\"#_edn2\" name=\"_ednref2\">[2]<\/a><\/p>\n<p>Ist dieser Wert 0, war der User noch nie am DC angemeldet. So kann man ungenutzte Accounts erkennen, bei denen es zu pr\u00fcfen gilt, ob sie gel\u00f6scht werden sollten, um die Angriffsoberfl\u00e4che m\u00f6glichst klein zu halten. Um alle User zu finden, die noch nie angemeldet waren, kann man also einfach nach dem Wert lastLogon=0 suchen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15064\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b9-300x17.png\" alt=\"\" width=\"1341\" height=\"76\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-300x17.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-1024x58.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-768x43.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-1536x87.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-2048x115.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b9-48x3.png 48w\" sizes=\"(max-width: 1341px) 100vw, 1341px\" \/><\/p>\n<p>Es kann jedoch auch von Interesse sein, alle User zu finden, die z.B. seit 30 Tagen nicht mehr angemeldet waren. Dazu muss man den Wert des Attributs vergleichen. Hier bietet es sich an den Vergleichswert \u2013 eine Zeitangabe, die man man mit Get-Date erhalten kann \u2013 in das Windows File Time Format zu konvertieren, was man wiederum mit ToFileTime() erledigen kann. Zun\u00e4chst muss man den Zeitraum mit (Get-Date).AddDays(-30) angeben. Da Zeiten in LDAP als UTC Zeit gespeichert werden, muss man au\u00dferdem noch ToUniversalTime() nutzen. Um den Wert in Windows File Time umzuwandeln, nutzt man dann die Methode ToFileTime(). Mit dem Operator &lt;= werden dann nur Benutzer gesucht, deren lastLogon Wert kleiner ist &#8211; also zeitlich vor dem angegebenen Zeitpunkt liegen.<\/p>\n<p>Eine Suche nach allen Usern, die seit mehr als 30 Tagen nicht mehr angemeldet waren, sieht dann wie folgt aus:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15065\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b10-300x26.png\" alt=\"\" width=\"1338\" height=\"116\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b10-48x4.png 48w\" sizes=\"(max-width: 1338px) 100vw, 1338px\" \/><\/p>\n<p>Es ist auch m\u00f6glich, diese Suche nach Stunden und Minuten einzugrenzen, indem man zus\u00e4tzlich noch AddHours() und AddMinutes() verwendet. Ein Beispiel w\u00e4ren alle User, die seit einem Tag, f\u00fcnf Stunden und 30 Minuten nicht eingeloggt waren:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15066\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b11-300x33.png\" alt=\"\" width=\"1336\" height=\"147\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-300x33.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-1024x112.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-768x84.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-1536x168.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-36x4.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b11-48x5.png 48w\" sizes=\"(max-width: 1336px) 100vw, 1336px\" \/><\/p>\n<p>Es kann nat\u00fcrlich auch sehr n\u00fctzlich sein, den letzten Logon eines Users einfach ablesen zu k\u00f6nnen, was sich bei dem Windows File Time Format f\u00fcr Menschen doch als etwas umst\u00e4ndlich darstellen d\u00fcrfte. Um sich den Wert des lastLogon eines bestimmten Users in einem angenehmen, human-readable Format angeben zulassen kann man den Type Accelerator DateTime wie folgt verwenden:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15067\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b12-300x26.png\" alt=\"\" width=\"1327\" height=\"115\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b12-48x4.png 48w\" sizes=\"(max-width: 1327px) 100vw, 1327px\" \/><\/p>\n<p>Beispiel Output:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15068\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b13-300x25.png\" alt=\"\" width=\"1320\" height=\"110\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13-300x25.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13-768x64.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13-48x4.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b13.png 840w\" sizes=\"(max-width: 1320px) 100vw, 1320px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Object_of_Interest_Time_of_Creation\"><\/span>Object of Interest: Time of Creation<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nicht nur der letzte Logon, auch der Erstellungszeitpunkt eines Users wird als Wert im Attribut whencreated gespeichert und kann mit folgender Abfrage ausgegeben werden:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15082\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/nina-b14-300x26.png\" alt=\"\" width=\"1327\" height=\"115\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/nina-b14-48x4.png 48w\" sizes=\"(max-width: 1327px) 100vw, 1327px\" \/><\/p>\n<p>Im Gegensatz zu lastLogon erh\u00e4lt man das Output hier sogar in einem human-readable Format. Allerdings wird der Wert eigentlich als YMD LDAP-timestamp gespeichert, sodass bei einem Vergleich hier anders vorgegangen werden muss. Die YMD LDAP-timestamps beginnen mit der Jahreszahl und haben das folgende Format: YYYYMMDDHHMMSST. Der Wert <strong>T<\/strong> am Ende ist die Zeitzone, die normalerweise <strong>Z<\/strong> ist (Zulu Time Zone = UTC\/GMT). Um hier einen Vergleichswert zu schaffen, kann man den Format Operator (-f) verwenden, der die folgende Syntax ben\u00f6tigt:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15081\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b15-300x38.png\" alt=\"\" width=\"1326\" height=\"168\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-300x38.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-1024x129.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-768x97.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-1536x194.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-2048x258.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-36x5.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b15-48x6.png 48w\" sizes=\"(max-width: 1326px) 100vw, 1326px\" \/><\/p>\n<p>Der String mit Platzhaltern beschreibt hier dann das YMD Format <strong>{0:yyyyMMddHHmmss.0Z}<\/strong> und im Array kann mit Get-Date ein bestimmter Zeitwert aufgerufen werden, der dann in das angegebene Format umgewandelt wird. Zum Vergleich k\u00f6nnen auch hier die Operatoren &lt;= oder &gt;= verwendet werden.<\/p>\n<p>Mit folgender Abfrage kann man alle User finden, die vor 7 Tagen, einer Stunde und f\u00fcnf Minuten erstellt wurden:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15080\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b16-300x33.png\" alt=\"\" width=\"1318\" height=\"145\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-300x33.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-1024x112.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-768x84.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-1536x168.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-2048x223.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-36x4.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b16-48x5.png 48w\" sizes=\"(max-width: 1318px) 100vw, 1318px\" \/><\/p>\n<p>Und mit dieser Abfrage findet man alle User, die nach diesem Zeitpunkt erstellt wurden:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15079\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b17-300x33.png\" alt=\"\" width=\"1309\" height=\"144\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-300x33.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-1024x112.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-768x84.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-1536x168.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-2048x223.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-36x4.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b17-48x5.png 48w\" sizes=\"(max-width: 1309px) 100vw, 1309px\" \/><\/p>\n<p>Man kann sogar nach Usern suchen, deren Erstellung in einem bestimmten Zeitraum stattgefunden haben, dazu setzt man einfach zwei Suchfilter. Im folgenden Beispiel gibt die erste whencreated Suche den fr\u00fchsten und die zweite Suche den sp\u00e4testen Zeitpunkt des gesuchten Zeitraums an:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15078\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b18-300x42.png\" alt=\"\" width=\"1300\" height=\"182\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b18-300x42.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b18-1024x142.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b18-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b18-36x5.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b18-48x7.png 48w\" sizes=\"(max-width: 1300px) 100vw, 1300px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Object_of_Interest_SPN_Account\"><\/span>Object of Interest: SPN Account<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Service Principal Names (SPNs) werden in Active Directory verwendet, um Dienste in die Kerberos-Authentifizierung einzubinden. \u00dcber Kerberos k\u00f6nnen Tickets f\u00fcr die SPNs angefordert werden. Es ist m\u00f6glich, offline die Verschl\u00fcsselung der Tickets zu knacken, was besonders dann n\u00fctzlich f\u00fcr Angreifer ist, wenn SPNs an Benutzerkonten gebunden sind &#8211; dies ist bei Dienstkonten \u00fcblich. Man sollte also einen guten \u00dcberblick \u00fcber die SPN Accounts behalten.<\/p>\n<p>Ist ein Account ein SPN Account, besitzt er das Attribut servicePrincipalName, nach welchem man suchen kann. Da gew\u00f6hnliche User dieses Property nicht besitzen, kann man in der Suche mit <strong>=*<\/strong> einfach pr\u00fcfen, ob das Attribut bei einem Account existiert, um ihn als SPN Account zu identifizieren. Der Wert von servicePrincipalName enth\u00e4lt au\u00dferdem oft Informationen \u00fcber den Service und kann wie folgt aussehen: <strong>smtp\/DC1.example.com:145<\/strong><\/p>\n<p>Eine Suche nach allen SPN Accounts s\u00e4he dann wie folgt aus:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15077\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b19-300x26.png\" alt=\"\" width=\"1281\" height=\"111\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b19-48x4.png 48w\" sizes=\"(max-width: 1281px) 100vw, 1281px\" \/><\/p>\n<p>M\u00f6chte man zus\u00e4tzlich alle Computeraccounts ausschlie\u00dfen, die typischerweise auf $ enden, kann man diese Suche nutzen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15076\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b20-300x26.png\" alt=\"\" width=\"1269\" height=\"110\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b20-48x4.png 48w\" sizes=\"(max-width: 1269px) 100vw, 1269px\" \/><\/p>\n<p>Ein Augenmerk sollte man auch auf Service Accounts haben, die schon einmal eingeloggt waren und ggf. pr\u00fcfen, ob dies berechtigte Logins sind:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15075\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b21-300x26.png\" alt=\"\" width=\"1258\" height=\"109\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b21-48x4.png 48w\" sizes=\"(max-width: 1258px) 100vw, 1258px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Object_of_Interest_Computer\"><\/span>Object of Interest: Computer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die in der Domain angebundenen Computer kann man &#8211; wie zu Beginn erw\u00e4hnt &#8211; ebenfalls mit einer Suche nach Objektklasse und Objektkategorie Computer finden ((&amp;(objectClass=computer)(objectCategory=computer))). Eine zweite M\u00f6glichkeit ist die Suche nach der Primary Group ID. Die Primary Group ID dient der POSIX-Kompatibilit\u00e4t, also f\u00fcr eine m\u00f6gliche Interaktion mit Unix-Systemen und wird von Windows selbst nicht ben\u00f6tigt. Sie ist jedoch bei jedem Objekt eingetragen. Der POSIX Standard sieht vor, dass jeder Benutzer (genau) einer Gruppe angeh\u00f6rt. Dies bildet Windows als \u201cPrimary Group\u201d ab. Die Primary Group wird beim Erstellen automatisch direkt im Objekt im Feld \u201cprimaryGroupID\u201d gespeichert. Hier wird nicht der Name der Gruppe, sondern die RID (Relative Identifier = der letzte Abschnitt der SID [Security Identifier]) gespeichert.<\/p>\n<p>F\u00fcr Computer relevant sind folgende Primary Group IDs:<\/p>\n<ul>\n<li>515 = Domain Computer<\/li>\n<li>516 = Domain Controller<\/li>\n<li>521 = read-only Domain Controller<\/li>\n<\/ul>\n<p>Mit den folgenden Suchen kann man dann spezifisch nach Computern, Domain Controllern oder read-only Domain Controllern in der Domain suchen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15074\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b22-300x50.png\" alt=\"\" width=\"1254\" height=\"209\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-300x50.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-1024x172.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-768x129.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-24x4.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-36x6.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b22-48x8.png 48w\" sizes=\"(max-width: 1254px) 100vw, 1254px\" \/><\/p>\n<p>Wenn man Informationen \u00fcber die Betriebssysteme der in der Domain<br \/>\nangebundenen Computer erlangen m\u00f6chte, kann man sich z.B. alle Betriebssysteme ausgeben lassen, indem man mit der Methode <strong>FindAll()<\/strong> nach <strong>(&amp;(objectClass=computer)(objectCategory=computer))<\/strong> sucht und sich nur die Werte f\u00fcr operatingSystem ausgeben l\u00e4sst:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15073\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b23-300x26.png\" alt=\"\" width=\"1258\" height=\"109\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-300x26.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-1024x88.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-768x66.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-1536x132.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-2048x176.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-36x3.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b23-48x4.png 48w\" sizes=\"(max-width: 1258px) 100vw, 1258px\" \/><\/p>\n<p>Man kann aber auch gezielt nach bestimmten Betriebssystemen suchen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15072\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b24-300x188.png\" alt=\"\" width=\"1253\" height=\"785\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-300x188.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-1024x643.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-768x482.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-24x15.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-36x23.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b24-48x30.png 48w\" sizes=\"(max-width: 1253px) 100vw, 1253px\" \/><\/p>\n<p>Es ist auch m\u00f6glich mittels Wildcard(s) nach Betriebssystemen zu suchen, die einen bestimmten Begriff enthalten:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-15071\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/b25-300x40.png\" alt=\"\" width=\"1253\" height=\"167\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-300x40.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-768x103.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-1536x206.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-2048x275.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-36x5.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/b25-48x6.png 48w\" sizes=\"(max-width: 1253px) 100vw, 1253px\" \/><\/p>\n<p>Mit den aufgef\u00fchrten Suchen kann man bereits sehr viele Informationen \u00fcber User zusammentragen, die dazu beitragen k\u00f6nnen, einen guten \u00dcberblick \u00fcber ein Active Directory zu erlangen, sowie auch \u201cKarteileichen\u201d ausfindig zu machen. Mit adsisearcher kann man aber auch noch mehr herausfinden, wie z.B. Gruppenzugeh\u00f6rigkeiten. Es gilt also neugierig zu bleiben und mehr \u00fcber adsisearcher zu lernen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Serienuebersicht\"><\/span>Serien\u00fcbersicht<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ul>\n<li><a href=\"https:\/\/www.secuinfra.com\/de\/news\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/\">Active Directory, LDAP und adsisearcher \u2013 Fahren auf Sicht, oder Durchblick haben?<\/a><\/li>\n<li>Adsisearcher \u2013 Get the Object of Interest: Suchen nach spezifischen Usern und Computern<\/li>\n<li><a href=\"https:\/\/www.secuinfra.com\/de\/news\/adsisearcher-gruppen-rekursiv-aufloesen\/\">Adsisearcher \u2013 Gruppen rekursiv aufl\u00f6sen<\/a><\/li>\n<li>Adsisearcher \u2013 Kein Versteckspiel: User Informationen in der Bitmaske entdecken<\/li>\n<\/ul>\n<p><a href=\"#_ednref1\" name=\"_edn1\">[1]<\/a> 2.223 Attribute sAMAccountType: Microsoft Documentation, <a href=\"https:\/\/docs.microsoft.com\/en-gb\/openspecs\/windows_protocols\/ms-ada3\/7879be50-7109-41e4-9a44-02f5a007b950\">https:\/\/docs.microsoft.com\/en-gb\/openspecs\/windows_protocols\/ms-ada3\/7879be50-7109-41e4-9a44-02f5a007b950<\/a><\/p>\n<p><a href=\"#_ednref2\" name=\"_edn2\">[2]<\/a> File Times: Microsoft Documentation, <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/sysinfo\/file-times\">https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/sysinfo\/file-times<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie findet man ein spezifisches \u201cObject of Interest\u201d oder auch mehrere Objekte, die bestimmte Eigenschaften besitzen? Die Antwort hierauf ist so logisch wie einfach: man muss die richtigen Suchfilter kennen und angeben.<\/p>\n","protected":false},"author":12,"featured_media":27630,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[91,90,66],"tags":[],"dpc_coauthors":[],"class_list":["post-15054","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-active-directory","category-ldap","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=15054"}],"version-history":[{"count":0,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15054\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27630"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=15054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=15054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=15054"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=15054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}