Jump to content

System Auditing Ereignis: NtLmSsp


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe auf meinem Server das unten stehende System Auditing Ereignis. 

 

Nun ist die Frage, was der Angreifer hier genau versucht hat? Der RDP-Zugriff ist durch VPN getunnelt.

 

Wie kann ich dies verhindern?

 

Vielen Dank!

Tb

 

 

 

 

 

 

 

 

Fehler beim Anmelden eines Kontos.

 

Antragsteller:

Sicherheits-ID: NULL SID

Kontoname: -

Kontodomäne: -

Anmelde-ID: 0x0

 

Anmeldetyp: 3

 

Konto, für das die Anmeldung fehlgeschlagen ist:

Sicherheits-ID: NULL SID

Kontoname: Administrator

Kontodomäne: *

 

Fehlerinformationen:

Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.

Status: 0xC000006D

Unterstatus:: 0xC0000064

 

Prozessinformationen:

Aufrufprozess-ID: 0x0

Aufrufprozessname: -

 

Netzwerkinformationen:

Arbeitsstationsname: *

Quellnetzwerkadresse: *

Quellport: 3585

 

Detaillierte Authentifizierungsinformationen:

Anmeldeprozess: NtLmSsp 

Authentifizierungspaket: NTLM

Übertragene Dienste: -

Paketname (nur NTLM): -

Schlüssellänge: 0

 

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

 

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

 

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

 

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

 

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

 

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.

- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.

- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.

- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...