OliverZ 10 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 Hallo! Derzeit werden täglich Benutzerkonten bei uns gesperrt, wir vermuten, dass jemand über unseren OWA Passwörter testet. Wie oder Wo kann ich einen Eintrag finden, bezüglich fehlgeschlagener OWA Logins bzw noch besser, den Grund warum das Konto gesperrt wurde. Auf dem OWA Frontend Server habe ich nichts gefunden, auf den Domaincontrollern auch nicht. Gibt es eine GPO die ich aktivieren muss? Wenn jemand über OWA Passwörter testet, hätte ich gerne seine IP Adresse, welche Tipps habt ihr für mich? Danke!!! Zitieren Link zu diesem Kommentar
chirho 10 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 Hallo. Was sagen denn die IIS-Logs? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 Hi, OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt. Du mußt auf Deinen DCs gegenprüfen, von welchem Client die Sperrung ausging. Am besten Du fängst auf dem PDCe an, von dort bekommst Du den Hinweis, auf welchem DC die Sperrung stattgefunden hat (ggf. auch auf ihm selbst) und von dort bekommst Du den Client. Viele Grüße olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 ganz praktisch ist dazu für die Suche das Tool "lockoutstatus" cu blub Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 20. März 2010 Melden Teilen Geschrieben 20. März 2010 Download: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en bzw. Einzeldownload: http://www.microsoft.com/downloads/details.aspx?FamilyID=D1A5ED1D-CD55-4829-A189-99515B0E90F7&displaylang=en&displaylang=en Beschreibung: "Determines all the domain controllers that are involved in a lockout of a user in order to assist in gathering the logs. LockoutStatus.exe uses the NLParse.exe tool to parse Netlogon logs for specific Netlogon return status codes. It directs the output to a comma-separated value (.csv) file that you can sort further, if needed." Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 20. März 2010 Melden Teilen Geschrieben 20. März 2010 Servus, das könnte auch der Conf***er Virus sein. Gehe dem auch einmal nach. Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 20. März 2010 Melden Teilen Geschrieben 20. März 2010 Ich kann Daim nur unterstützen, das wär' das Erste was ich testen würde. Deine Beschreibung paßt, leider, ziemlich typisch auf den Virus. Viel Glück, ... und hoffentlich liegen wir falsch. M. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. März 2010 Melden Teilen Geschrieben 20. März 2010 Hi, na ja, wenn es die Dimension vom Conf***er hätte, wären wahrscheinlich mehr / alle Accounts betroffen. Aber klar, einen Blick in die Richtung ist sicher nicht verkehrt. Nebenbei die Frage: Nach wie vielen ungültigen Anmeldeversuchen werden die Accounts in der Umgebung gesperrt, d.h. was ist von Euch konfiguriert worden? Wenn es nur 3 oder 5 ungültige Anmeldeversuche sind, brauchen wir hier gar nicht großartig herum zu suchen. Dann solltest Du erst einmal mindestens 10 Anmeldeversuche einstellen und prüfen, ob das Problem dann immer noch auftritt. Viele Grüße olc Zitieren Link zu diesem Kommentar
OliverZ 10 Geschrieben 23. März 2010 Autor Melden Teilen Geschrieben 23. März 2010 OK, ich habe getestet, ob OWA Accounts sperrt und dem ist so. In den Events am DC (alle FSMO Rollen als Master) kommt das Event mit der ID 4740 wenn ein User gesperrt wird. Als Melder wird immer der Frontend Server von OWA angegeben. Ich werde jetzt noch die IIS Logs auf Zugriffe prüfen, die während der Kontensperrung statt fanden. Wir hatten früher 7 falsche PW Eingaben erlaubt. Der Counter wurde nach 120 Minuten resetet. Jetzt haben wir es auf 3 herunter gesetzt. Früher gab es solche Sperrungen nur einmal im Jahr. Jetzt im zwei Tagesabstand. Danke für die vielen und auch sinnvollen Antworten!!! Zitieren Link zu diesem Kommentar
OliverZ 10 Geschrieben 23. März 2010 Autor Melden Teilen Geschrieben 23. März 2010 Con****er ist es glaub ich nicht! USB, CDRom, Bluetooth, Infrarot, SD-Karten sind bei uns gesperrt. User bekommen nichts in den PC hinein. Per SMTP und HTTP(S) kommen auch keine ZIP, Exe, MSI und sonst etwas in unser Netz. Firewall läßt FTP, HTTP+S und SMTP durch, sonst nichts. Laut Wikipedia kommen die gesperrten Konten beim con****er durch bruteforcen von geschützten Shares, welche bei uns aber nur im LAN erreichbar wären, nicht über die Firewall aus dem Internet. Jeder Rechner ist mit einem KAV Client ausgestattet + aktiver Desktop FW. Kaspersky kennt Con****er, imho, schon lange. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Hi, wie gesagt, eine Webanmeldung über OWA (Webinterface) dürfte meines Wissens das Problem nicht verursachen. Anders sieht es aus, wenn mittels NTLM die Authentifizierung stattfindet - wie genau greifen die Bneutzer auf OWA zu bzw. wie werden sie authentifiziert? Poste einmal die konkreten Lockout Events (alle für einen Lockout), dort steht der Authentication Type mit drin. 7 ungültige Anmeldeversuche sind meines Erachtens zu niedrig. Ich würde es mit mindestens 10 - 20 Versuchen noch einmal probieren. Schau außerdem einmal auf den IIS Teil des folgenden Technet Artikels: Troubleshooting Account Lockout --> vielleicht spielt der IIS Token Cache hier auch eine Rolle. Viele Grüße olc Zitieren Link zu diesem Kommentar
OliverZ 10 Geschrieben 24. März 2010 Autor Melden Teilen Geschrieben 24. März 2010 Definitiv sperrt OWA bei uns (Ex2003 alle Updates auf WinSrv2003R2 alle Updates) die Konten, ich habe es jetzt ein paar mal getestet und auch die erzeugten Events beobachtet! Auch der Counter für Fehleingaben im Programm "lockoutstatus" wird hochgezählt. Ich habe einen Testuser angelegt namens btm, das ist die Eventmeldung die erscheint, wenn der User druch fehlerhafte OWA Anmeldungen gesperrt wird: Log Name: SecuritySource: Microsoft-Windows-Security-Auditing Date: 24.03.2010 09:35:18 Event ID: 4740 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: SRV-DC01.***.local Description: A user account was locked out. Subject: Security ID: SYSTEM Account Name: SRV-DC01$ Account Domain: *** Logon ID: 0x3e7 Account That Was Locked Out: Security ID: ***\btm Account Name: btm Additional Information: Caller Computer Name: SRV-PROXY Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4740</EventID> <Version>0</Version> <Level>0</Level> <Task>13824</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2010-03-24T08:35:18.176500000Z" /> <EventRecordID>606739</EventRecordID> <Correlation /> <Execution ProcessID="516" ThreadID="1796" /> <Channel>Security</Channel> <Computer>SRV-DC01.***.local</Computer> <Security /> </System> <EventData> <Data Name="TargetUserName">btm</Data> <Data Name="TargetDomainName">SRV-PROXY</Data> <Data Name="TargetSid">S-1-5-21-1123561945-1343024091-854245398-3300</Data> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SRV-DC01$</Data> <Data Name="SubjectDomainName">***</Data> <Data Name="SubjectLogonId">0x3e7</Data> </EventData> </Event> SRV-PROXY ist der OWA Frontend Server. Die IIS Logs zeigen dann die IP, mir ist nur jetzt erst aufgefallen, dass die Zeit in den IIS Logs um eine Stunde zurückgeht. Weltzeit. Danke für eure Unterstützung! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. März 2010 Melden Teilen Geschrieben 24. März 2010 Hi, Du hast meine Fragen oben nicht beantwortet und nur ein Event angegeben, nicht alle relevanten. Es gibt wie angesprochen unterschiedliche Methoden, sich zu authentifizieren. Je nach Anmeldemethode sperrt ein DC ein Benutzerkonto oder eben nicht. Ich beziehe mich auf die normale OWA Webseitenauthentifizierung. Wie genau melden sich die Benutzer also an? Wie genau lauten die relevanten Events / Event-Texte? Das eine Event hilft hier nicht weiter. Und ebenfalls noch einmal der Hinweis, daß 7 ungültige Anmeldeversuche bis zu einer Sperrung meines Erachtens zu wenig sind. Viele Grüße olc Zitieren Link zu diesem Kommentar
OliverZ 10 Geschrieben 30. März 2010 Autor Melden Teilen Geschrieben 30. März 2010 Hallo! Das Problem, ich finde nicht viel mehr, am DC finde ich nichts passendes dazu, der OWA Frontend Server (Caller Computer des Events) hat zwei Events zum Zeitpunkt des Locks. Ich habe selber einen Lockout ausgelöst: Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 30.03.2010 Zeit: 16:35:42 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: SRV_PROXY Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x423DD610) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: SRV-DC01 Anmelde-GUID: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url=http://go.microsoft.com/fwlink/events.asp]Events and Errors Message Center: Basic Search[/url]. Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 30.03.2010 Zeit: 16:35:42 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: SRV_PROXY Beschreibung: Benutzerabmeldung: Benutzername: ANONYMOUS-ANMELDUNG Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x423DD610) Anmeldetyp: 3 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Die anderen Events haben sind zwei Minuten davor oder danach geloggt worden. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. März 2010 Melden Teilen Geschrieben 30. März 2010 Hi, ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt. Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres. Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen? Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.