Jump to content

Gesperrte Benutzer Konten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Derzeit werden täglich Benutzerkonten bei uns gesperrt, wir vermuten, dass jemand über unseren OWA Passwörter testet.

 

Wie oder Wo kann ich einen Eintrag finden, bezüglich fehlgeschlagener OWA Logins bzw noch besser, den Grund warum das Konto gesperrt wurde.

 

Auf dem OWA Frontend Server habe ich nichts gefunden, auf den Domaincontrollern auch nicht.

 

Gibt es eine GPO die ich aktivieren muss?

 

Wenn jemand über OWA Passwörter testet, hätte ich gerne seine IP Adresse, welche Tipps habt ihr für mich?

 

Danke!!!

Link zu diesem Kommentar

Hi,

 

OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt.

 

Du mußt auf Deinen DCs gegenprüfen, von welchem Client die Sperrung ausging. Am besten Du fängst auf dem PDCe an, von dort bekommst Du den Hinweis, auf welchem DC die Sperrung stattgefunden hat (ggf. auch auf ihm selbst) und von dort bekommst Du den Client.

 

Viele Grüße

olc

Link zu diesem Kommentar

Download: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en bzw. Einzeldownload: http://www.microsoft.com/downloads/details.aspx?FamilyID=D1A5ED1D-CD55-4829-A189-99515B0E90F7&displaylang=en&displaylang=en

 

Beschreibung: "Determines all the domain controllers that are involved in a lockout of a user in order to assist in gathering the logs. LockoutStatus.exe uses the NLParse.exe tool to parse Netlogon logs for specific Netlogon return status codes. It directs the output to a comma-separated value (.csv) file that you can sort further, if needed."

Link zu diesem Kommentar

Hi,

 

na ja, wenn es die Dimension vom Conf***er hätte, wären wahrscheinlich mehr / alle Accounts betroffen. Aber klar, einen Blick in die Richtung ist sicher nicht verkehrt.

 

Nebenbei die Frage: Nach wie vielen ungültigen Anmeldeversuchen werden die Accounts in der Umgebung gesperrt, d.h. was ist von Euch konfiguriert worden? Wenn es nur 3 oder 5 ungültige Anmeldeversuche sind, brauchen wir hier gar nicht großartig herum zu suchen. Dann solltest Du erst einmal mindestens 10 Anmeldeversuche einstellen und prüfen, ob das Problem dann immer noch auftritt.

 

Viele Grüße

olc

Link zu diesem Kommentar

OK, ich habe getestet, ob OWA Accounts sperrt und dem ist so.

 

In den Events am DC (alle FSMO Rollen als Master) kommt das Event mit der ID 4740 wenn ein User gesperrt wird. Als Melder wird immer der Frontend Server von OWA angegeben. Ich werde jetzt noch die IIS Logs auf Zugriffe prüfen, die während der Kontensperrung statt fanden.

 

Wir hatten früher 7 falsche PW Eingaben erlaubt. Der Counter wurde nach 120 Minuten resetet. Jetzt haben wir es auf 3 herunter gesetzt.

 

Früher gab es solche Sperrungen nur einmal im Jahr. Jetzt im zwei Tagesabstand.

 

Danke für die vielen und auch sinnvollen Antworten!!!

Link zu diesem Kommentar

Con****er ist es glaub ich nicht!

 

USB, CDRom, Bluetooth, Infrarot, SD-Karten sind bei uns gesperrt. User bekommen nichts in den PC hinein.

 

Per SMTP und HTTP(S) kommen auch keine ZIP, Exe, MSI und sonst etwas in unser Netz. Firewall läßt FTP, HTTP+S und SMTP durch, sonst nichts.

 

Laut Wikipedia kommen die gesperrten Konten beim con****er durch bruteforcen von geschützten Shares, welche bei uns aber nur im LAN erreichbar wären, nicht über die Firewall aus dem Internet. Jeder Rechner ist mit einem KAV Client ausgestattet + aktiver Desktop FW.

 

Kaspersky kennt Con****er, imho, schon lange.

Link zu diesem Kommentar

Hi,

 

wie gesagt, eine Webanmeldung über OWA (Webinterface) dürfte meines Wissens das Problem nicht verursachen. Anders sieht es aus, wenn mittels NTLM die Authentifizierung stattfindet - wie genau greifen die Bneutzer auf OWA zu bzw. wie werden sie authentifiziert?

 

Poste einmal die konkreten Lockout Events (alle für einen Lockout), dort steht der Authentication Type mit drin.

 

7 ungültige Anmeldeversuche sind meines Erachtens zu niedrig. Ich würde es mit mindestens 10 - 20 Versuchen noch einmal probieren.

Schau außerdem einmal auf den IIS Teil des folgenden Technet Artikels: Troubleshooting Account Lockout --> vielleicht spielt der IIS Token Cache hier auch eine Rolle.

 

Viele Grüße

olc

Link zu diesem Kommentar

Definitiv sperrt OWA bei uns (Ex2003 alle Updates auf WinSrv2003R2 alle Updates) die Konten, ich habe es jetzt ein paar mal getestet und auch die erzeugten Events beobachtet! Auch der Counter für Fehleingaben im Programm "lockoutstatus" wird hochgezählt.

 

Ich habe einen Testuser angelegt namens btm, das ist die Eventmeldung die erscheint, wenn der User druch fehlerhafte OWA Anmeldungen gesperrt wird:

Log Name: Security

Source: Microsoft-Windows-Security-Auditing

Date: 24.03.2010 09:35:18

Event ID: 4740

Task Category: User Account Management

Level: Information

Keywords: Audit Success

User: N/A

Computer: SRV-DC01.***.local

Description:

A user account was locked out.

 

Subject:

Security ID: SYSTEM

Account Name: SRV-DC01$

Account Domain: ***

Logon ID: 0x3e7

 

Account That Was Locked Out:

Security ID: ***\btm

Account Name: btm

 

Additional Information:

Caller Computer Name: SRV-PROXY

Event Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />

<EventID>4740</EventID>

<Version>0</Version>

<Level>0</Level>

<Task>13824</Task>

<Opcode>0</Opcode>

<Keywords>0x8020000000000000</Keywords>

<TimeCreated SystemTime="2010-03-24T08:35:18.176500000Z" />

<EventRecordID>606739</EventRecordID>

<Correlation />

<Execution ProcessID="516" ThreadID="1796" />

<Channel>Security</Channel>

<Computer>SRV-DC01.***.local</Computer>

<Security />

</System>

<EventData>

<Data Name="TargetUserName">btm</Data>

<Data Name="TargetDomainName">SRV-PROXY</Data>

<Data Name="TargetSid">S-1-5-21-1123561945-1343024091-854245398-3300</Data>

<Data Name="SubjectUserSid">S-1-5-18</Data>

<Data Name="SubjectUserName">SRV-DC01$</Data>

<Data Name="SubjectDomainName">***</Data>

<Data Name="SubjectLogonId">0x3e7</Data>

</EventData>

</Event>

 

SRV-PROXY ist der OWA Frontend Server.

 

Die IIS Logs zeigen dann die IP, mir ist nur jetzt erst aufgefallen, dass die Zeit in den IIS Logs um eine Stunde zurückgeht. Weltzeit.

 

Danke für eure Unterstützung!

Link zu diesem Kommentar

Hi,

 

Du hast meine Fragen oben nicht beantwortet und nur ein Event angegeben, nicht alle relevanten.

 

Es gibt wie angesprochen unterschiedliche Methoden, sich zu authentifizieren. Je nach Anmeldemethode sperrt ein DC ein Benutzerkonto oder eben nicht. Ich beziehe mich auf die normale OWA Webseitenauthentifizierung.

Wie genau melden sich die Benutzer also an? Wie genau lauten die relevanten Events / Event-Texte? Das eine Event hilft hier nicht weiter.

 

Und ebenfalls noch einmal der Hinweis, daß 7 ungültige Anmeldeversuche bis zu einer Sperrung meines Erachtens zu wenig sind.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo!

 

Das Problem, ich finde nicht viel mehr, am DC finde ich nichts passendes dazu, der OWA Frontend Server (Caller Computer des Events) hat zwei Events zum Zeitpunkt des Locks.

 

Ich habe selber einen Lockout ausgelöst:

Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	540
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
	Benutzername:	
	Domäne:		
	Anmeldekennung:		(0x0,0x423DD610)
	Anmeldetyp:	3
	Anmeldevorgang:	NtLmSsp 
	Authentifizierungspaket:	NTLM
	Arbeitsstationsname:	SRV-DC01
	Anmelde-GUID:	-
	Aufruferbenutzername:	-
	Aufruferdomäne:	-
	Aufruferanmeldekennung:	-
	Aufruferprozesskennung: -
	Übertragene Dienste: -
	Quellnetzwerkadresse:	-
	Quellport:	-


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url=http://go.microsoft.com/fwlink/events.asp]Events and Errors Message Center: Basic Search[/url].

 

Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	538
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Benutzerabmeldung:
	Benutzername:	ANONYMOUS-ANMELDUNG
	Domäne:		NT-AUTORITÄT
	Anmeldekennung:		(0x0,0x423DD610)
	Anmeldetyp:	3


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Die anderen Events haben sind zwei Minuten davor oder danach geloggt worden.

Link zu diesem Kommentar

Hi,

 

ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt.

 

Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres.

 

Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen?

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...