AndVS 1 Geschrieben 15. August Melden Teilen Geschrieben 15. August Hallo zusammen, wir bekommen bei unserem Windows Server 2022 21H2 regelmäßig Fehler im Security Log. Zitat Fehler beim Anmelden eines Kontos. Antragsteller: Sicherheits-ID: Domäne\Username Kontoname: Username Kontodomäne: Domäne Anmelde-ID: 0x36503B Anmeldetyp: 3 Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Gast Kontodomäne: Hostname Fehlerinformationen: Fehlerursache: Das Konto ist derzeit deaktiviert. Status: 0xC000006E Unterstatus:: 0xC0000072 Prozessinformationen: Aufrufprozess-ID: 0x1d4c Aufrufprozessname: C:\Windows\explorer.exe Netzwerkinformationen: Arbeitsstationsname: Hostname Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ich kann leider nicht herausfinden, was da genau im Hintergrund passiert. Der User ist mein eigener Domänenadmin, der auf dem Server angemeldet ist. Danke euch und viele Grüße Andreas Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 15. August Melden Teilen Geschrieben 15. August Moin und willkommen an Board! Laut deinem Auszug ist das der deaktivierte Gast User vor 2 Stunden schrieb AndVS: Ich kann leider nicht herausfinden, was da genau im Hintergrund passiert. Der User ist mein eigener Domänenadmin, der auf dem Server angemeldet ist. In dem eigentlichen LOG sollte die SID stehen, damit kommst du weiter Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 15. August Melden Teilen Geschrieben 15. August Moin, ist der Admin (wie er auch sollte) evtl. in der "Protected Users" Gruppe? Alternativ, falls der Server kein Domain Controller ist (und warum meldet sich der Domain Admin dann dort an?): Ist der *lokale* Admin evtl. deaktiviert? ...wobei Zweiteres nicht dieses Bild generieren dürfte. Zitieren Link zu diesem Kommentar
AndVS 1 Geschrieben 15. August Autor Melden Teilen Geschrieben 15. August vor 4 Minuten schrieb Nobbyaushb: Moin und willkommen an Board! Laut deinem Auszug ist das der deaktivierte Gast User In dem eigentlichen LOG sollte die SID stehen, damit kommst du weiter Danke für Deine Antwort. Die SID gehört zu meinem Domänen Admin und ist nicht deaktiviert. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 15. August Melden Teilen Geschrieben 15. August vor 1 Minute schrieb AndVS: Danke für Deine Antwort. Die SID gehört zu meinem Domänen Admin und ist nicht deaktiviert. Dann verweise ich auf die Antwort von Evgenij vor 5 Minuten schrieb cj_berlin: ...ist der Admin (wie er auch sollte) evtl. in der "Protected Users" Gruppe? Alternativ, falls der Server kein Domain Controller ist (und warum meldet sich der Domain Admin dann dort an?): Ist der *lokale* Admin evtl. deaktiviert?... Zitieren Link zu diesem Kommentar
AndVS 1 Geschrieben 15. August Autor Melden Teilen Geschrieben 15. August vor 6 Minuten schrieb cj_berlin: Moin, ist der Admin (wie er auch sollte) evtl. in der "Protected Users" Gruppe? Alternativ, falls der Server kein Domain Controller ist (und warum meldet sich der Domain Admin dann dort an?): Ist der *lokale* Admin evtl. deaktiviert? ...wobei Zweiteres nicht dieses Bild generieren dürfte. Nein, er ist nicht Mitglied in der Gruppe. Der Server ist kein DC. Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 15. August Melden Teilen Geschrieben 15. August Moin, vor 7 Stunden schrieb AndVS: Danke für Deine Antwort. Die SID gehört zu meinem Domänen Admin und ist nicht deaktiviert. Der angemeldete User ist dein Admin. Von diesem wird die Anmeldung eines anderen Kontos angefordert, dem eine Null-SID zugeordnet ist und das daher als Gast identifiziert wird. Das sagt das Event. Versucht Windows, bei der Anmeldung deines Users ist später irgendwas automatisch auszuführen? Gruß, Nils Zitieren Link zu diesem Kommentar
AndVS 1 Geschrieben 16. August Autor Melden Teilen Geschrieben 16. August vor 11 Stunden schrieb NilsK: Moin, Der angemeldete User ist dein Admin. Von diesem wird die Anmeldung eines anderen Kontos angefordert, dem eine Null-SID zugeordnet ist und das daher als Gast identifiziert wird. Das sagt das Event. Versucht Windows, bei der Anmeldung deines Users ist später irgendwas automatisch auszuführen? Gruß, Nils Guten Morgen, auf dem Server läuft eine Softwareverteilungssoftware (ACMP) mit einem SQL 2019. Unter dem SQL Server finde ich keine Tasks, ebenso nicht im Windows Taskplaner. Grüße Andreas Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 16. August Melden Teilen Geschrieben 16. August (bearbeitet) Welches Konto wurde für den ACMP als Dienst zugewiesen? Ich hoffe, du hast dafür ein spezielles Dienstkonto erstellt... Und ACMP ist viel mehr als Verteiler... z.B. Patchmanagement, aber das weißt du selber, sonst wäre die Enscheidung dazu nicht gefallen... bearbeitet 16. August von Nobbyaushb Zitieren Link zu diesem Kommentar
AndVS 1 Geschrieben 16. August Autor Melden Teilen Geschrieben 16. August vor 4 Minuten schrieb Nobbyaushb: Welches Konto wurde für den ACMP als Dienst zugewiesen? Ich hoffe, du hast dafür ein spezielles Dienstkonto erstellt... Und ACMP ist viel mehr als Verteiler... z.B. Patchmanagement, aber das weißt du selber, sonst wäre die Enscheidung dazu nicht gefallen... Eigenständiges AD Service Konto. 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. August Melden Teilen Geschrieben 16. August Heißt der Domain-Administrator "Administrator"? Dann wird der gern gesperrt, wenn der lokale "Administrator" am PC benutzt wird und der ein anderes Kennwort hat. Generell sollte man den echten "Administrator" in der Domäne umbenennen und einen Fake "Administrator" anlegen. So als Honeypot. Dieser Fake-Administrator ist bei uns auch ständig gesperrt. Vermutlich weil beim Desktop-Deploy dieser User benutzt wird. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 16. August Melden Teilen Geschrieben 16. August vor 54 Minuten schrieb zahni: Dieser Fake-Administrator ist bei uns auch ständig gesperrt. Der schon, der Built-in ist "sperrsicher" (per default). Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 16. August Melden Teilen Geschrieben 16. August Moin, Zumal dieser Trick nur bei sehr simplen Angriffen funktioniert. Den vordefinierten Administrator erkennt man an seiner SID, egal, wie er heißt. Und da man ihn nicht sperren kann und er auch über weitere Vorzüge verfügt, ist er ein sehr attraktives Ziel. Aber das nur am Rande, mit dem Thema des Threads hat es höchstens indirekt zu tun. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.