Server: Kontos sind andauernd gesperrt

[Osnabrücker 10]

Hallo Forumsmitglieder,

 

Erst mal als info vorweg:

Ich administriere einen windows 2000 server an dem zur zeit erst 6 pcs (alle windows 2000) hängen. Es sind ebenfalls 6 user eingerichtet (Servergespeicherte Profile).

Der server lief 2 wochen ohne probleme, seit vorgestern jedoch werden alle naselang die nutzerkonten aus unerfindlichen gründen gesperrt.

Wenn ich die konten im acitve directory wieder frei schalte, dauerts nicht lange und die konten sind wieder gesperrt.

bin am verzweifeln, weil mir die win doku, google und die suchfunktion in diesem forum bsiher nicht weitergebracht haben.

 

Falls noch zusätzliche infos nötig sind bitte melden.

P.S.: der server ist auf dem aktuellsten stand (alle patches),

Die sicherheitseinstellungen für alle festplatten sind so eingestellt, das nur der administrator die domänenbenutzer und das system daruaf zugriff haben.

 

bin für jede hilfe dankbar.

 

mfg

 

der Osnabrücker

[Dr.Melzer 191]

Was für Kennwortrestriktionen sind denn gesetzt?

[edv-olaf 10]

Gibt es irgendwo einen Hinweis (Ereignis-Log), weshalb die Accounts gesperrt werden? Ist es eine temporäre Sperre oder werden sie disabled?

 

Grüße

Olaf

[Osnabrücker 10]

@ Dr. Melzer

Kontosperrungschwelle 3

Kontosperrdauer 0 (muss ich als admin also wieder freischalten)

Zurücksetzungsdauer des Kontosperrungszählers 30 min.

 

Kennwortchronik 5

Max. Kennwortalter 100 Tage

Min. kenwortalter 1 Tag

Kennwortlänge 6 Zeichen

Komplexitätsanforderungen deaktiviert

keine umkehrbare verschlüsselung

 

an den kerberos einstellungen habe ich keine änderungen vorgenommen

 

@edv-olaf

 

hab mir die log-einträge genau angeschaut, aber nichts besonderes gefunden.

kann sie aber morgen früh mal posten, vielleicht seh ich den wald vor lauter bäumen ja nicht :-)

ist übrigens keine temporäre sperre. Alle Konten sind halt auf einmal gesperrt (bis auf den admin). Schalte ich sie wieder frei dauerts meist nicht lange (kann 5 minuten oder wenns gut läuft auch mal ne stunde andauern) und sie sind wieder gesperrt.

 

 

ne zusätzliche anmerkung von mir: Ich habe festgestellt das im active directory der dc für delegierungszwecke freigeben ist. (der genaue wortlaut fällt mir gerade nicht ein).

ist das standardmäßig so? ich hab das häckchen auf jeden fall nicht gesetzt.

 

danke für die schnellen antworten ist echt ein gutes forum hier.

[Dr.Melzer 191]

Kann es sein, dass die User (oder jemand der einfach versucht die Kennwörter auszuprobieren) ihre Kennwörter falsch eingeben und dann das Konto für 30Minuten gesperrt ist.

[edv-olaf 10]

Original geschrieben von Dr.Melzer

Kann es sein, dass die User (oder jemand der einfach versucht die Kennwörter auszuprobieren) ihre Kennwörter falsch eingeben und dann das Konto für 30Minuten gesperrt ist.

 

Hallo,

 

Osnabrücker schreibt, "Kontosperrdauer 0 (muss ich als admin also wieder freischalten)", also muss der Account dauerhaft gesperrt sein, oder? Das ließe sich nicht durch Brute-Force-Hacking erreichen. Oder?

 

Dass der DC für Deligierungszwecke freigeschaltet ist, ist - soweit ich es richtig verstanden habe - normal.

 

Grüße

Olaf

[Osnabrücker 10]

Hallo,

 

Die Kontos sind gemäß der Domänen-Richtlinie dauerhaft gesperrt.

Habe erst einmal das Admin-Passwort geändert und werde die weitere Entwicklung mal beobachten.

Falls das nicht funktioniert ändere ich die Kennwortrichtlinien so, dass keine automatische Sperrung mehr erfolgt.

Falls das den gewünschten Effekt hat, weiß ich zumindest das jemand im Netz oder von außerhalb versucht auf die Konten zuzugreifen.

Werde die weitere Entwicklung berichten.

Hat sonst noch jemand ne idee, was man machen könnte?

 

 

mfg

 

der Osnabrücker

[auer 10]

Prinzipiell ist es relativ einfach, einen Dienst zu schreiben, der das alle halbe Stunde erledigt und diesen auf die Maschine zu packen, mit NET-Techniken dürfte das sogar remote gehen. Damit käme jeder mit Adminzugang infrage.

 

Zur Eingrenzung: Ist die Gruppenrichtlinie Computer \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Überwachungsrichtlinien \ Kontenverwaltung überwachen aktiviert?

 

-------------

Gruß, Auer

[Osnabrücker 10]

@ auer

 

meinst du die domaincontroller policy oder oder die domain policy?

(bin zurzeit nicht am server muss morgen mal nachschauen)

(meine aber, dass sie aktivert ist)

in der ereignisanzeige steht auch nichts besorgniserregendes

 

woran kann ich denn noch erkennen, dass der computer gehackt wurde?

gbits es generell dienste, die man auf einem server deaktivieren solllte und/ oder kann?

zur info: habe telnet und ils dienst deaktivert.

 

bin in sachen server ein ziemlich unbeschriebenes blatt. das wissen, wie man einen server einrichtet habe ich mir hauptsächlich aus dem internet und aus ms büchern zum 2000er server geholt.

 

den server einfach platt machen und neu aufsetzen ist für mich nur die allerletzte endlösung. vor allem möchte ich erst sicher wissen, wie es dazu kommen konnte. habe keine lust (und zeit) den server neu aufzusetzen und nach zwei wochen erneut vor diesem problem zu stehen.

 

sorry, dass meine infos ein bisschen mager sind werde morgen mal log einträge und die von auer gewünschten infos nachschieben.

besten dank erstmal.

[Osnabrücker 10]

hallo an alle,

 

mit erfolgsmeldungen bin ich ja vorsichtig geworden, aber es scheint so, als wenn die passwortänderung des admin-kontos schon was gebracht hätte. so richtig glauben will ich das aber noch nicht.

 

dann muss ich mich vor allen noch in grund und boden schämen.

auer hat mich ja drauf angesprochen, ob die überwachung der kontoverwaltung aktiviert war.

die komplette überwachung war deaktivert und in der domain controller policy auf nicht definert eingestellt gewesen.

in beiden richtlinien (controller und domain) habe ich jetzt die volle überwachung aktiviert. wenn sich bis montag was regen sollte, wird dann hoffentlich auch protokolliert!

nochmals entschuldigung an alle, weiß auch nicht, was mich dazu geritten hat die überwachung zu deaktivieren.

@ auer: besten dank. hätte wohl weiter verzweifelt auf einen log eintrag im ereignisprotokoll gewartet :-)

 

werde mal am montag schauen, ob noch alle konten freigeschaltet sind.

 

bis dann

 

der osnabrücker

[Osnabrücker 10]

hallo,

 

der Fehler, warum die Konten andauernd gesperrt werden ist aufgelöst.

Der Server, den ich betreue steht mit anderen Netzten in Verbindung. Auch wenn unser Server als PDC autark arbeitet, ist eine physikalische Verbindung gegeben.

Es hat in letzter Zeit etliche DDos Attacken auf das Netz gegeben. Zusätzlich dazu war auf einem Client in dem anderen Netz ein Virus aktiv (W32.Randex.Q).

Ich habe mir die Log Einträge meines Servers (nach aktivierung :rolleyes: ) angeschaut. Innhalb einer Minute (immer Nachts zu einem bestimmten Zeitpunkt) wurde über 1000mal versucht auf verschiedene Nutzerkonten zuzugreifen.

Ich habe die Richtlinie jetzt so geändert, dass die Konten nach 15 Minuten wieder freigeschaltet werden. Das wird jedoch kein dauerhafter Zustand sein.

 

 

danke noch mal an alle, die hier gepostet haben :D

 

mfg

 

Der Osnabrücker