Heute morgen fast 75 % aller User-Konten gesperrt. Was kann das sein?

[Dr. Neslihan 10]

Guten morgen!

 

Wir haben hier folgendes Problem. Gestern haben wir das POP3-Protokoll in unserer Firewall freigeschaltet, damit eine Außenstelle von uns die E-Mail von einem virtuellen POP3 Server unseres Exchange Servers abrufen kann. OK, das ist natürlich nicht sehr sicher, aber wir mussten leider wieder schnell handeln, ohne überhaupt großartig Vorbereitungen treffen zu können. In naher Zukunft soll das ganze dann aber über VPN laufen.

 

Nun zu unserem Problem.

Auf einmal sind fast 75% aller unserer Userkonten gesperrt gewesen. Angeblich hat sich der Administrator (er war noch auf dem Server angemeldet, der Rechner war aber gesperrt) sich um 07:31 abgelemdet und wieder angemeldet. Zu diesem Zeitpunkt war aber niemand von uns hier.

 

Ich gebe gleich auch mal ein paar Details aus unserem Ereignisprotokoll preis. Aber kann mir vorher schon jemand einen Hinweis geben, was hier passiert sein kann?

Danke!

[Whoppi 10]

alle notwendigen SP´s vorhanden ?? ;-) - oder dient die Kiste schon als "Stroh" :shock:

[Dr. Neslihan 10]

Ja, Automatische Updates aktiviert.

 

Übrigens waren gerade wieder sehr viele Konten gesperrt, obwohl die User angemeldet waren.

[Dr.Melzer 191]

Ist die Richtlinei, dass Konten nach einer bestimmten anzahl von fehlgeschlagenen anmeldeversuchen gesperrtt werden Aktiviert?

Möglicherweise versucht jemand eure Passwörter mit Brut Force zu Knacken.

[crocrow 10]

wenn möglich, kannst du ja den server vom netz ntzt nehmen um zu gucken ob das ein Bruteforce angriff ist !

[Dr. Neslihan 10]

So, nun brauche ich keine Angst mehr zu haben. Es ist kein Angriff gewesen.

 

Erläuterung:

 

Wir haben vor unserer Umstellung auf Exchange ein kleines Zusatzprogramm gehabt, welches mit einer Laufschrift am oberen Bildschirmrand den Empfang von neuen E-Mails angezeigt hat.

Dieses Programm haben wir aus zeitlichen Gründen noch nicht von den Clients deinstalliert. Es wurde also nach wie vor im Hintergrund ausgeführt, hatte jedoch nach der Umstellung keine Funktion mehr.

Gestern haben wir dann einen virtuellen POP3 Server auf unserem Exchange Server eingerichtet, somit hat das Programm wieder einen Ansprechpartner gefunden. Was wir jedoch nicht bedacht hatten.

Nun hat auch jeder User ein neues Passowrt nach der Umstellung bekommen, das besagte Programm hat aber nun alle fünf Minuten versucht sich am Server anzumelden, bis schließlich nach 15 Min das Konto gesperrt wurde.

 

Kleine Ursache, große Wirkung!

 

Trotzdem danke für eure schnelle Hilfe.

 

Bis dahin!

[lefg 276]

... ein kleines Zusatzprogramm gehabt, welches mit einer Laufschrift am oberen Bildschirmrand den Empfang von neuen E-Mails angezeigt hat.

Hallo,

 

was ist das schönes?

 

Dank & Gruß

 

Edgar

[Dr. Neslihan 10]

http://www.tickermymail.com/default-de.htm

 

Viel kann ich dir über das Programm aber nicht sagen, da wir hier nur die Testversion im Einsatz hatten und leider nicht die Freigabe bekommen hatten, dies zu Kaufen. Daher war es noch nicht lange im Einsatz.

Sonst hätte ich es gerne weiter eingesetzt, da es mir persönlich gut gefällt. Aber leider...

[lefg 276]

Danke

[try_to_find 10]

Hallo,

 

da es aber anscheinend einen PW Wechsel der User nicht mitmacht ist es doch weitestgehend unbrauchbar. Zumindest in Umgebungen, die Regelmäßig PW Änderungen verlangen, oder?

 

Sieht mir auch mehr nach einem privaten Endwanwender Tool aus, der seine Mails mit einem weitgehend statischen PW abholt.

 

In dem Fall und rein funktionell gesehen scheint es aber eine nette Sache zu sein.

 

try_to_find