P100 10 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Hallo und einen schönen guten Abend, ich wollte fragen ob es eine Möglichkeit gibt auch bei Logon Type 3 die IP Adresse eines Angreifers im Ereignis Protokoll 4625 sichtbar zu machen. Ich kann die IP Adressse auf der Server Ebene sehen jedoch nicht im Ereignis ID 4625. Offensichtlich versucht er über Netzwerklayer ins System einzudringen. Das Ereignis Protokoll sieht folgendermassen aus. Windows Web Server 2008 R2 mit IIS 7.5 ------------------------------------------------- Fehler beim Anmelden eines Kontos.Antragsteller: Sicherheits-ID: SYSTEM Kontoname: "SERVERNAME" Kontodomäne: $SERVER$ Anmelde-ID: 0x3e7Anmeldetyp: 3Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: xxx Kontodomäne: $Kontoname$Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc0000064Prozessinformationen: Aufrufprozess-ID: 0x374 Aufrufprozessname: C:\Windows\System32\svchost.exeNetzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: -Detaillierte Authentifizierungsinformationen: Anmeldeprozess: IAS Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. ---------------------------------------------------------------------- Hat jemand eine Idee? MFG Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Hast Du mal das RADIUS-Server-Logfile angesehen? Zitieren Link zu diesem Kommentar
P100 10 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Es ist ein standalone Server beim Provider(dedicated). Wird nur für eine Webseite benutzt. Verbindung zum Server wird generell über VPN und RDP aufgebaut. Ausser einem Web Admin (für Adminsitration) greift sonst niemand auf den Server. Wie oben geschrieben Im Log File des W3C kann der Angreifer IP gelesen werden. Der Angreifer versucht über RAS Zugang zu verschaffen. Weshalb jedoch beim Logon Type3 die IP Adresse des Angreifers nicht im Ereignis ID 4625 geloggt wird ist mir unverständlich. Gibt es hierfür eine konfigurationsmöglichkeit die IP des Angreifers im Ereignis ID 4625 mit zu protokolieren? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 3. Mai 2014 Melden Teilen Geschrieben 3. Mai 2014 Ja, im RADIUS-Server-Logfile. Schrub ich doch schon. Die Authentifizierung der VPN-Verbindung erfolgt laut Logeintrag über den IAS (nicht den IIS). Der ist die Quelle der Authentifizierung in Deinem Beispiel. Der ist damit auch der Client. Im Webserverlogfile wirst Du daher nix richtiges dazu finden. Also einfach das Logging im IAS aktivieren: http://technet.microsoft.com/de-de/LIBRARY/cc787894 Zitieren Link zu diesem Kommentar
P100 10 Geschrieben 3. Mai 2014 Autor Melden Teilen Geschrieben 3. Mai 2014 Vielen Dank. Ich werde gleich heute Abend ausprobieren MfG Zitieren Link zu diesem Kommentar
P100 10 Geschrieben 4. Mai 2014 Autor Melden Teilen Geschrieben 4. Mai 2014 Hallo nochmal, leider gibt es ein kleines Problem: >> NPS is not included in this edition of Windows Web Server 2008. <<Routing and Remote Access service ist aktiviert. eine andere Idee? MfG Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. Mai 2014 Melden Teilen Geschrieben 4. Mai 2014 (bearbeitet) Dann aktiviere das RRAS Log und schau da rein: http://technet.microsoft.com/de-de/library/dd458953.aspx Was für eine Einwahltechnologie und Verschlüsselung nutzt Du denn? BTW: Bist Du Dir sicher, dass Du die RRAS-Funktion auf dem Windows Web Server einsetzen darfst? Schau mal in die Lizenzbedingungen: "Die Software darf nur als Front-End-Webserver zur Entwicklung und Bereitstellung von über das Internet zugänglichen Webseiten, Websites, Webanwendungen, Webdiensten, POP3-Mailservern verwendet werden..." http://download.microsoft.com/Documents/UseTerms/Windows%20Web%20Server_2008%20R2_German_5f685373-4d93-4abc-a014-c36aaedbd5df.pdf bearbeitet 4. Mai 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
P100 10 Geschrieben 4. Mai 2014 Autor Melden Teilen Geschrieben 4. Mai 2014 (bearbeitet) Unter Server Rollen und Feauters steht keine Network Policy and Access Service. Unter Server Rollen steht nur noch DNS-Server, welcher nicht installiert ist. Also wird nur IIS betrieben. Ich denke wir haben keine Lizenzen verletzt. Tortzdem danke für den Hinweis. Nach dieser Anleitung wird die VPN mit RDP zum Server aufgebaut. http://www.netzwerktotal.de/windows-7-anleitungen/153-virtual-private-network-vpn-unter-windows-7-einrichten.html Die Adminstration des Web Servers wird über RDP vorgenommen. Dort soll in naher Zukunft eine Webseite seinen Dienst nehmen. Zudem vorhin genannten "connection to Microsoft Routing and Remote Access server" steht im Windows\system32\IN1404.log Dort konnten wir die IP Adresse des Angreifers sehen. Beim zuvorigen Post war wohl ein Missverständiss von mir. Sorry about that. bearbeitet 4. Mai 2014 von P100 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Mai 2014 Melden Teilen Geschrieben 5. Mai 2014 (bearbeitet) Der VPN-Server ist kein Bestandteil des IIS. Der Betrieb eines VPN-Servers ist in den Lizenzbedingungen der Web Server-Version nicht gestattet. Dafür brauchst Du mindestens eine Standard-Version. Da sehe ich wirklich ein Missverständnis bei Dir. bearbeitet 5. Mai 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
P100 10 Geschrieben 5. Mai 2014 Autor Melden Teilen Geschrieben 5. Mai 2014 Sorry, ich wollte das nicht einfach so stehen lassen. leider habe ich zu wenig Zeit. Ich habe jedoch ein wenig im Netz gesucht und fand dies: http://www.cloudvps.com/community/knowledge-base/windows-vpn-connections Windows VPN connections Windows 2008r2 WEB edition, VPN how-to Besonders: .....This method is recommended by Microsoft in its documentation and is intended for use by system managers who are knowledgeable about networks. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Mai 2014 Melden Teilen Geschrieben 5. Mai 2014 Das ist keine Seite von Microsoft. Was da steht, ist im Vergleich zu den Lizenzbedingungen nicht relevant. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.