nobex

ja klar wenn er einen keylogger drauf hätte ;-)

Aber ich vertrau in dem Fall wirklich auf unseren Viren Scanner der so ein Programm sicher gleich entdeckt und auch eine dementsprechende Warnung an uns schickt.

Ich denke, mit lokalen Admin-Rechten könnte man auch da was tricksen ...

Denke, solange die Rechner noch in den Browserlisten geführt werden, versucht der Explorer diese zu finden und fährt sich für diese Zeit fest. Dies kann man gut mit browmon oder browstat nachverfolgen.

Btw, sollten die Rechner bzw. der Server-Dienst sich beim runterfahren nicht beim Master- oder Backupbrowser 'abmelden'?

Hallo,

Allerdings frage ich mich gerade:

Kann OSX nicht auch diekt auf CIFS/SMB Freigaben zugreifen ? Ohne dass auf dem Windows-Server die SFM aktiv sein müssen ?

Ja, es kann.

Gruß Robert

Um nochmal auf das ursprüngliche Szenario zurückzukommen:

Ich finde es in diesem Fall doch sehr kritisch, mit domänenweiten Admin-Accounts zu arbeiten denn wenn der User einen Keylogger installiert hat, braucht er gar nicht erst nach verschlüsselt hinterlegten Kennwörtern zu suchen.

Ich habe bemerkt, dass wenn ein Aufruf erfolgreich ist, so sehe ich keine Verbindung auf der Firewall. Ist jedoch der server nicht ereichbar, so sehe ich wie eine Anfrage über die Firewall kommt, aber sie dann keine antwort von der Destination-IP bekommt.

Vielleicht könntest Du diese Aussage dann doch noch mal genauer erläutern. Ich verstehe es bis jetzt so:

Die Hardwarefirewall protokolliert bei erfolgreichen Verbindungen NICHTS. Bei Fehlschlag wird aber ein Zugriff protokolliert? Dann treten doch 2 verschiedene Regeln in Aktion (sonst würde immer bzw. nie protokolliert werden), was ich verwunderlich finde.

Hallo,

der DNS-Server löst nur Namen in IP-Adressen auf und umgekehrt. Ob ein Rechner 'existiert', kann er nicht sagen.

Hast Du evtl. noch andere Protokolle außer IP und/oder andere Clientsoftware (z.B. Netware-Client) im Einsatz?

Gruß Robert

Hallo,

Die Clients holen sich die Zeit vom dem Domaincontroller, an dem sie sich anmelden? Richtig?

Nein, die Zeit holen die Domänen-Mitglieder vom PDC-Emulator.

Die Domaincontroller, reden untereinander? Richtig?

Nein, siehe oben.

Wie kriegen die DCs die Zeit? Denen muss ich doch händisch sagen, wo die GPS-CLOCK (hier im Haus) ist? Allen DCs oder nur einem?

Am besten, Du baust den Empfänger in den PDC-Emulator und hast damit die ganze Domäne automatisch 'richtiggestellt'.

Gruß Robert

Ist vielleicht mal das IEAK im Einsatz gewesen und wurde ein angepasster IE installiert? Könnte mir vorstellen, dass der seine Einstellungen hartnäckig zurücksetzt oder von anderer Stelle zieht. Werden denn Deine Werte aus dem GPO unter 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings' eingtragen? Versuche doch mal testweise mit Regedit dort die Einstellungen zu korrigieren.

Ich habe hier auch alle paar Tage über mehrere Stunden Bruteforce-Attacken (3-4 Versuche pro Sekunde zu erkennen an den riesigen Logs) auf meinen Server aber dank umbenannter Standardaccounts und langer/komplexer Passwörter kann ich trotzdem ruhig schlafen. Eine Firewall, die solche Angriffe erkennt und dann die Quelle blockt wäre schon fein aber es geht auch ohne.

Ja das mit dem Tatooviren der registry hab ich auch gelesen, nur wie bringt man das wieder weg?

Wie beschrieben kann man das nur manuell, durch einen Gegenpolicy oder im Falle von Sicherheitseinstellungen (gabs die in den Systemrichtlinien?) durch Rücksetzen auf Standardwerte mit 'Sicherheitskonfiguratuion- und Analyse' korrigieren. Darum meine Frage, welche Einstellungen denn betroffen sind.

Guten Morgen,

der geht jetzt ins Blaue:

Wird beim Zugriff auf die Seite eine Beglaubigung durchgeführt und schaltet vielleicht auf der Firewall ein IDS/IPS-System bei zu häufigem Zugriff den Verkehr ab, um Bruteforce-Angriffe zu verhindern? Betreust Du selbst die Firewall? Was steht dort in den Logs?

Gruß Robert

Hallo Joe,

um welche Einstellung handelt es sich denn?

Btw, NT-Richtlinien haben sich übrigens wirklich solange ins System geschrieben, bis eine 'Gegenpolicy' zum Einsatz kam. Das ganze wurde Tattooing genannt und ist seit 2000er-GPOs Geschichte.

Gruß Robert

Wenn ich das Sicherungsprogramm manuell aufrufe, dann fnktioniert alles wunderbar.

Ich meinte nicht über das Sicherungsprogramm, sondern den Task aus dem Taskplaner (Systemsteuerung -> Geplante Tasks) per Hand starten, dort steht dann auch ein Fehlercode

Leider wird ein angemeldeter Benutzer abgemeldet. Kann man daran etwas drehen?

Nein, außer Du nimmst in dem Fall die Remote-Unterstützung und lässt den User zustimmen (Bedingung: Domäne).

Was sagt den rsop.msc an den beschriebenen Stellen?

Hallo Daniel,

kannst Du den Task manuell aus dem Taskplaner starten? Hat der Account, unter dem der Task läuft, genügend Rechte? Steht etwas in der Ereignisanzeige?

Gruß Robert

Hallo Edgar,

Es geht primär nicht um die Unterstützung für einen User, es geht ganz einfach um Stichproben.

Btw, was nimmst Du denn mit über Remotedesktop für Stichproben?

Gruß Robert

Ist die Firewall ein eigenes Gerät oder lokal auf dem W2K-Server?

Ich habe bemerkt, dass wenn ein Aufruf erfolgreich ist, so sehe ich keine Verbindung auf der Firewall. Ist jedoch der server nicht ereichbar, so sehe ich wie eine Anfrage über die Firewall kommt, aber sie dann keine antwort von der Destination-IP bekommt.

Ich würde testweise die Firewall komplett deaktivieren. Funktioniert ein ping auf die Ziel-IP, wenn nein, welcher Fehler wird ausgegeben?

Fehlen Dir evtl. Adminrechte? Du schriebst ja

... einen lokalen Benutzer angelegt, mit dem ich mich per RDP auf dem Server anmelden kann. ...

Das Schloss kannst Du ignorieren. Wenn Du die entspr. Rechte hast, kannst Du die Einstellungen auch ändern.

Na dann ist ja der Fall eindeutig (SPF hatte ich nicht bedacht) und Du kannst nicht über andere Relays mit GMX-Absender senden. Bietet GMX keinen SMTP-Zugang den Du evtl. zum Versenden nutzen kannst?

Hallo,

es könnte sein, dass Deine Mails als Spam klassifiziert werden, weil sie von einem Dial Up-Zugang versendet wurden. Dann hätte Dein Server allerdings direkt (ohne Smarthost) ausgeliefert.

Weiterhin könnte der Relay-Server Deines Providers in einer Openrelay-Datenbank im Internet geführt werden und deshalb die Spam-Filter auslösen.

Das die Mails nicht über einen GMX-Server kommen, halte ich als Grund für die Markierung für unwahrscheinlich.

Gruß Robert

Hallo,

Es ist kein Server, das ist sein privater Heim PC und er besteht auf die komplette Schalldämmung mit einem Zeug das Steinwolle ähnlich sieht und wohl auch ähnliche Eigenschaften hat... alles ist damit ausgekleidet und die Festplatten sind in Plastik und Gummi gelagert...

btw, über 30 Grad Außentemp., Schalldämmung, Hitzetod ... besteht da vielleicht ein Zusammenhang bzw. ein konzeptionelles Problem beim Aufbau des PC?

Gruß Robert

Hallo,

Starten würde ich alles über einen kompletten Systemneustart da u.U. abhängige Dienste, welche mit 'net stop Dienst /Y' mitgestoppt wurden, sonst nicht wieder anlaufen.

Gruß Robert

Hallo,

Du könntest über die Dienste-Verwaltung des Servers alle Dienste, die mit 'Microsoft Exchange' beginnen und den 'Simple Mail Transfer Protocol (SMTP)' auf 'deaktiviert# setzen. Vorher solltest Du Dir den ursprünglichen Zustand notieren. Danach kannst Du die Dienste stoppen, den Server patchen, neu starten und bei Erfolg die Dienste wieder zurückkonfigurieren.

Gruß Robert