Blaubeere 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 Hallo, ich habe gerade ein schweres Problem mit einem Server der von einer externen Firma gehärtet wurde. Serverbeschreibung: Der Server läuft auf Windows 2003 (kein Servicepack) steht in der DMZ und ist Mitglied einer Domäne unseres internen Netzes und stellt Citrix Webservices bereit. Es existieren leider keine Dokumentationen über die Härtungsarbeiten der externen Firma. Der Server läßt sich von anderen Servern in der DMZ aus anpingen. Probleme: 1.) RDP Zugriff ist nur als lokaler Administrator möglich. Obwohl Domänenadmins/Benutzer lokal für RDP Zugriff freigegeben sind erscheint bei deren Anmeldung per RDP gegen die Domäne die Nachricht: Das System kann Sie aufgrund des folgenden Fehlers nicht anmelden:Der RPC-Server ist nicht verfügbar. Wiederholen Sie den Vorgang, oder setzen Sie sich mit Ihrem Systemadministrator in Verbindung 2.) Zugriff auf Admin Shares (z.B. C$) von einem anderen DMZ Rechner aus ist überhaupt nicht möglich, es erscheint die Meldung: Das Netzlaufwerk konnte nicht verbunden werden, da folgender Fehler aufgetreten ist: Der Remotecomputer ist nicht verfügbar Wenn ich mir die Shares des Rechners aufliste sieht alles ganz normal aus, weshalb ich mir die beschreibene Fehlermeldung nicht erklären kann: Ausgabe cmd.exe > net share Name Ressource Beschreibung --------------------------------------------------------------- IPC$ Remote-IPC D$ D:\ Standardfreigabe C$ C:\ Standardfreigabe F$ F:\ Standardfreigabe ADMIN$ C:\WINDOWS Remoteverwaltung E$ E:\ Standardfreigabe Bisherige Lösungsansätze: Zu 1.) Ich habe auf dem Rechner den RPC-Lokator Dienst nachgestartet, jedoch ohne Auswirkung auf das RDP-Problem. Ich vermute eher das es an Gruppenrichtlinien liegen könnte, wüßte da aber erst mal keinen direkten Ansatz. Die offensichtlichen Richtlinien, die damit zu tun haben könnten scheinen in Ordnung zu sein. Vielleicht hatte ja jemand schon mal ein ähnliches Problem und kann mir einen Ratschlag erteilen? :) Zitieren
IThome 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 Wie haben die das gemacht, mit dem Security Configuration Wizard ? Zitieren
Necron 71 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 Der Server läuft auf Windows 2003 (kein Servicepack) @IThome Der Security Configuration Wizard wurde erst mit SP1 eingeführt. Zitieren
RanCyyD 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 net start rpcss mal versucht lokal am Server? Nur so eine Idee... Zitieren
Christoph35 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 Naja, es gibt ja von MS den Security Guide, der unter anderem auch Bastion-Host-Configs beschreibt. Möglicherweise wurden entsprechende Group Policies oder Local Policies aufgesetzt. Dann wäre es lohnenswert, mit der GPMC bzw. GPedit.msc die GPOs auszuwerten und darüber herauszufinden, welche Settings zu den beschriebenen Problemen führen. Christoph Zitieren
Das Urmel 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 der unter anderem auch Bastion-Host-Configs beschreibt. Könnte ich mir auch gut vorstellen, dass die damit gearbeitet haben. Kapitel 1: Einführung in das Windows Server 2003-Sicherheitshandbuch -- Prüfliste Windows Server 2003-Bastion-Host - Security Guidance Center -- Beheben von Fehlern bei der RPC-Endpunktzuordnung ^^^^^ zum gleichnamigen Titel runterscrollen und die Tests mit portqry vornehmen, dann bist du schon ein gutes Stück weiter. Zitieren
Blaubeere 10 Geschrieben 16. Mai 2007 Autor Melden Geschrieben 16. Mai 2007 net start rpcss mal versucht lokal am Server? Nur so eine Idee... Hallo, danke erst einmal für eure Reaktionen. @ RanCyyD Wenn ich net start rpcss ausführe erhalte ich die Meldung, dass der Dienst bereits läuft. War auf jedenfall aber einen Versuch wert! @ Christop35 Die lokalen Richtlinien sind ja ziemlich umfangreich, ich habe sie mir bereits genauer angeschaut aber keine Einträge gefunden, die ich in Zusammenhang mit den beschriebenen Problemen bringen würde. :( @ all Ergänzung meines Beitrages von oben: Der Server läßt sich normal in seinem Netzsegment anpingen Zitieren
Blaubeere 10 Geschrieben 16. Mai 2007 Autor Melden Geschrieben 16. Mai 2007 Hallo Das Urmel, ich hab mal portqry.exe ausgeführt und einen Scan auf Port 135 gemacht, der laut Beschreibung der Standardport für RDP ist und folgende Infos erhalten: Starting portqry.exe -n 123.123.123.123 -e 135 -p UDP ... Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... UDP port 135 (epmap service): NOT LISTENING portqry.exe -n 123.123.123.123 -e 135 -p UDP exits with return code 0x00000001. Heißt das, er lauscht nicht auf den Standard-Port? Zitieren
Das Urmel 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 Hi -p UDP machs mal ohne -p UDP - gleiche Rückmeldung : NOT LISTENING? Dann sind laut dem Artikel Ports über 1024 wohl dicht. Geh das dann nochmal durch, steht unter dem Beispiel. RDP rennt auf 3389 <- das muss auch von innen erreichbar sein. Zitieren
Blaubeere 10 Geschrieben 16. Mai 2007 Autor Melden Geschrieben 16. Mai 2007 Hallo Urmel, dann bekomme ich schon mehr heraus. Das sieht für mich dann so aus, als ob er über 1024 was findet: PortQry.exe -n 123.123.123.123 -e 135 Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... TCP port 135 (epmap service): LISTENING Using ephemeral source port Querying Endpoint Mapper Database... Server's response: UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_ip_tcp:123.123.123.123[1025] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[OLE61373346EC774DABBE38A9CA4DAF] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC00002830.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncacn_ip_tcp:123.123.123.123[1503] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000029f0.00000001] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[OLE1F3F6421AD694F2590ED17AEDFEC] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000027a4.00000001] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncalrpc:[LRPC00000370.00000001] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncacn_ip_tcp:123.123.123.123[1026] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncalrpc:[LRPC00000370.00000001] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncacn_ip_tcp:123.123.123.123[1026] UUID: 378e52b0-c0a9-11cf-822d-00aa0051e40f ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncalrpc:[OLE2A6CE10E9C4B4B78822D657BA81E] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncalrpc:[LRPC00000370.00000001] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncacn_ip_tcp:123.123.123.123[1026] UUID: 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 ncacn_np:\\\\SERVERNAME[\\PIPE\\atsvc] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_np:\\\\SERVERNAME[\\PIPE\\lsass] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[audit] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[securityevent] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[protected_storage] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_np:\\\\SERVERNAME[\\PIPE\\protected_storage] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[dsrole] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_ip_tcp:123.123.123.123[1025] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_np:\\\\SERVERNAME[\\PIPE\\lsass] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[audit] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[securityevent] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[protected_storage] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_np:\\\\SERVERNAME[\\PIPE\\protected_storage] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncalrpc:[dsrole] Total endpoints found: 35 ==== End of RPC Endpoint Mapper query response ==== Zitieren
Blaubeere 10 Geschrieben 16. Mai 2007 Autor Melden Geschrieben 16. Mai 2007 RDP rennt auf 3389 <- das muss auch von innen erreichbar sein. Der Port scheint dicht zu sein, jedenfall interpretiere ich die Meldung des Tools, vom betroffenden Server aufgerufen, so: PortQry.exe -n 123.123.123.123 -e 3389 Querying target system called: 123.123.123.123 Attempting to resolve IP address to a name... IP address resolved to name.test.de querying... TCP port 3389 (unknown service): LISTENING Aber komisch, dass ich mich mit dem lokalen Administrator Benutzer trotzdem per RDP anmelden kann. Zitieren
IThome 10 Geschrieben 16. Mai 2007 Melden Geschrieben 16. Mai 2007 @IThome Der Security Configuration Wizard wurde erst mit SP1 eingeführt. Recht hast Du :) Zitieren
Das Urmel 10 Geschrieben 18. Mai 2007 Melden Geschrieben 18. Mai 2007 Der Port scheint dicht zu sein, Nö, der antwortet doch TCP port 3389 (unknown service): LISTENING Allerdings scheint in deiner Antwortsliste aus #10 was zu fehlen, zumindest beim Vergleich mit meinem Server {auf die Schnelle} Es wäre imho besser sich mit dem Dienstleister in Kontakt zu setzen oder einen vor Ort zuzuziehen. Eventlog gibt dir keinerlei weiteren Hinweise? Zitieren
Blaubeere 10 Geschrieben 21. Mai 2007 Autor Melden Geschrieben 21. Mai 2007 Es wäre imho besser sich mit dem Dienstleister in Kontakt zu setzen oder einen vor Ort zuzuziehen. Eventlog gibt dir keinerlei weiteren Hinweise? Hallo Urmel, leider ist das nicht so einfach getreu nach Murphys Gesetzen. Der Dienstleister hat den Server vor ca. drei Jahren gehärtet, es gibt keine Systemdokumentation und der Consultant, der das ganze durchgeführt hat, ist mittlerweile nicht mehr bei der Firma beschäftigt bzw. nicht mehr aufzufinden. :( Was meinst du den sieht bei #10 anders aus wie bei dir? Ich habe nur die Serveradressen abgeändert. Im Eventlog bekomme ich folgende Fehlermeldungen wenn ich ein Discovery per Platespin anwerfe (Anmeldung als Domänenadministrator): Sicherheit: Kategorie: An-/Abmeldung Ereigniskennung: 529 Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Domäne: PLATESPIN Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Name der Arbeitsstation: PLATESPIN Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 123.0.123.1 Quellport: 3363 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Kategorie: Kontoanmeldung Ereigniskennung: 680 Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: Administrator Arbeitsstation: PLATESPIN Fehlercode: 0xC000006A Zitieren
Blaubeere 10 Geschrieben 21. Mai 2007 Autor Melden Geschrieben 21. Mai 2007 Ich habe noch eine Logdatei gefunden, die scheinbar von der Serverhärtung übrig geblieben ist. Mehr habe ich leider nicht gefunden. :( In diesem Logfile wird eine Analyse durchgeführt. Ich habe diese einmal weggelassen damit ich nicht mit der Zeichenbegrenzung hier im Forum kollidiere. ------------------------------------------- Montag, 2. August 2004 09:15:28 [Analysetabschnitt abgeschnitten] ----Verfügbare Anlagenmodule werden analysiert... Analyse der Anlagenmodule wurde erfolgreich abgeschlossen. ----Analysemodul wird deinitialisiert... ------------------------------------------- Montag, 2. August 2004 09:33:20 ----Konfigurationsmodul wurde erfolgreich initialisiert.---- ----Konfigurationsvorlageninformationen werden gelesen... ----Benutzerrechte werden konfiguriert... Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen. ----Gruppenmitgliedschaft wird konfiguriert... Konfigurieren von Hauptbenutzer. Konfigurieren von Administratoren. Fehler 1789: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Fehler beim Lookup aller Konten. Fehler 1789: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Fehler beim Lookup aller Konten. Konfiguration der Gruppenmitgliedschaft wurde mit einem oder mehreren Fehlern abgeschlossen. ----Registrierungsschlüssel werden konfiguriert... Konfiguration der Registrierungsschlüssel wurde erfolgreich abgeschlossen. ----Dateisicherheit wird konfiguriert... Konfiguration der Dateisicherheit wurde erfolgreich abgeschlossen. ----Allgemeine Diensteinstellungen werden konfiguriert... Konfigurieren von WZCSVC. Konfigurieren von TlntSvr. Konfigurieren von TapiSrv. Konfigurieren von SysmonLog. Konfigurieren von Spooler. Konfigurieren von SNMP. Konfigurieren von SCardSvr. Konfigurieren von RemoteRegistry. Konfigurieren von RasMan. Konfigurieren von RasAuto. Konfigurieren von NtFrs. Konfigurieren von NetDDEdsdm. Konfigurieren von NetDDE. Konfigurieren von MSIServer. Konfigurieren von mnmsrvc. Konfigurieren von Messenger. Konfigurieren von LmHosts. Konfigurieren von ERSvc. Konfigurieren von Dfs. Konfigurieren von ClipSrv. Konfigurieren von CiSvc. Konfigurieren von Browser. Konfigurieren von AppMgmt. Konfiguration allgemeiner Diensteinstellungen wurde erfolgreich abgeschlossen. ----Verfügbare Anlagenmodule werden konfiguriert... Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen. ----Sicherheitsrichtlinien werden konfiguriert... Konfigurieren der Kennwortinformationen. Das Gastkonto ist deaktiviert. Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen. LSA-Anonymous-Lookupnameneinstellung: vorhandenes SD = D:(D;;0x800;;;AN)(A;;0xf1fff;;;BA)(A;;0x20801;;;WD)(A;;0x801;;;AN)(A;;0x1000;;;LS)(A;;0x1000;;;NS). Konfiguration der LSA-Anonymous-Lookupeinstellung. Konfigurieren der Protokolleinstellungen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.