DanielHH 10 Geschrieben 2. April 2007 Melden Geschrieben 2. April 2007 Guten Abend, habe vorhin eine Mail eines Kunden bekommen, mit einem Auszug folgender Events: Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 02.04.2007 Zeit: 16:03:41 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Benutzerabmeldung: Benutzername: DC$ Domäne: BLUBB Anmeldekennung: (0x0,0x42952BFE) Anmeldetyp: 3 Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 02.04.2007 Zeit: 16:03:38 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: DC$ Domäne: BLUBB Anmeldekennung: (0x0,0x429526CB) Berechtigungen: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 02.04.2007 Zeit: 16:03:37 Benutzer: NT-AUTORITÄT\SYSTEM Computer: DC Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: DC$ Domäne: BLUBB Anmeldekennung: (0x0,0x4295202B) Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Arbeitsstationsname: Anmelde-GUID: {1b3780fe-d434-4647-c8ad-8ccacc1575c6} Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.0.100 (IP des DC) Quellport: 24317 Es scheint, als kommen diese Meldungen fast im sekundentakt oder sogar noch öfter. Prinzipiell würde ich mich über solche Meldungen ja nicht wundern, aber in dem Ausmaß? Ist das normal? Zu der Umgebung sei gesagt: Windows2003 Small Business Server, auf dem Exchange und ADS laufen, zusätzlich zu normalen File-Services. Also eigentlich nichts schlimmes. Könnte das der Exchange und / oder die Domänenverwaltung sein, die sich da selbst anmeldet und dass die Ereignisanzeige nur zu empfindlich eingestellt ist? Ich bin hier grad echt verwirrt.. Zitieren
gysinma1 13 Geschrieben 3. April 2007 Melden Geschrieben 3. April 2007 Hallo Wie Du richtig vermutest, ist das das System, welches sich an- und abmeldet respektive der Benutzer "Blubb". Ausser, dass die Logs gefüllt werden, ist dies nichts schlimmes. Das kann konfiguriert werden in den Domain (controller) Policies unter Audit oder Überwachung in dem Securityteil. Grüsse, Matthias Zitieren
Gadget 37 Geschrieben 3. April 2007 Melden Geschrieben 3. April 2007 Moin, nimm die erfolgreiche Rechte-Verwendung raus dann sollten die Einträge weg sein. Es gibt aber auch nen Hotfix für das Verhalten: System Performance Decreases, and Many Event ID 576 Entries Are Logged to the Security Event Log When you configure an audit policy in Windows Server 2003, your system performance may decrease, and the server may become unresponsive. Additionally, when these symptoms occur, many Event ID 576 entries that are similar to the following are logged to the Security event log Wobei der Hotfix relativ alt ist u. evtl. das Datum deiner "Lsasrv.dll" neuer. Nichtsdestotroz würde ich generell das auditing für erfolgreiche Rechteverwendung deaktivieren, damit sollte das Prob auch schon gelöst sein. LG Gadget Zitieren
groszmann 10 Geschrieben 4. April 2007 Melden Geschrieben 4. April 2007 Nichtsdestotroz würde ich generell das auditing für erfolgreiche Rechteverwendung deaktivieren Ähh, tschulligung, ich sehe grade den Wald vor lauter Bäumen nicht. Wo genau macht man das, habe mir schon die Augen wundgesucht in den GPOs. Gruß Hans Zitieren
Gadget 37 Geschrieben 4. April 2007 Melden Geschrieben 4. April 2007 Computer-Konfiguration / Windows-Einstellungen / Sicherheits-Einstellungen / Überwachungs-Richtlinien / Anmelde-Ereignisse (bei Erfolgreich haken rausnehmen) u. bei Anmelde-Versuche (auch bei Erfolgreich haken rausnehmen) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.