PatrickKByte 12 Geschrieben 14. Mai 2006 Melden Geschrieben 14. Mai 2006 Ich bekam heute in meinem Serverleistungsbericht eine nette Mitteilung: Quelle: Security, Ereigniskennung 529, Letztes Vorkommen: heute um 6.55, Vorkommnisse gesamt: 4.566 Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: Administrator Domäne: [meinDomainName] Anmeldetyp: 8 Anmeldevorgang: IIS Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: [meinSBS] Aufruferbenutzername: [meinSBS]$ Aufruferdomäne: [meinDomainName] Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 1320 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Für mich sieht das nach nem Angriff aus... Wie kann ich herausbekommen, ob er reinkam bzw. was gefunden hat? Zitieren
Leachim 10 Geschrieben 20. Mai 2006 Melden Geschrieben 20. Mai 2006 Sofern die Überwachung auf dem Server aktiv ist, kannst Du in der Ereignisanzeige nachschaun, ob vor der Regelarbeitszeit eine erfolgreiche Anmeldung mit dem Benutzerkonto des Administrators erfolgt ist. Zitieren
zahni 571 Geschrieben 20. Mai 2006 Melden Geschrieben 20. Mai 2006 Hängt er Server mit seinem IIS im Internet ? Schecke mal die WWW-Logs. -Zahni Zitieren
Leachim 10 Geschrieben 20. Mai 2006 Melden Geschrieben 20. Mai 2006 Hängt er Server mit seinem IIS im Internet ? Schecke mal die WWW-Logs. -Zahni Hi Zahni, wie finde ich Hinweise in den WWW-Logs, ob eine erfolgreiche Anmeldung stattgefunden hat? Zitieren
zahni 571 Geschrieben 20. Mai 2006 Melden Geschrieben 20. Mai 2006 Je nach Einstellung des Logs steht dort der Benutzername drin. Ansonsten sollten sich eigentlich die 40x-Fehler finden lassen. -Zahni Zitieren
PatrickKByte 12 Geschrieben 27. Mai 2006 Autor Melden Geschrieben 27. Mai 2006 Danke für eure Beiträge, er kam NICHT rein. Dummerweise waren kürzlich wieder einige Versuche im Protokoll. Wir kriege ich den Administrator-Zugang dicht? Ich MUSS von außen nicht an den Server ran, um ihn zu administrieren. So lange der OWA / Exchange / IIS im Netz für die Mitarbeiter bzw. IIS+FTP für einige Kunden verfügbar ist, kann der Administrator unter Ausschluss der Öffentlichkeit laufen. Gibts n Tut, mit dem ich den Administrator-Dingens von außen dicht mache? Ich will KEINE Anmeldung mehr per IIS am Server selbst zulassen... Zitieren
zahni 571 Geschrieben 27. Mai 2006 Melden Geschrieben 27. Mai 2006 1. Schritt wäre den Administrator umzubennen in irgendwas Schräges. Dann einen "Dummy-Administrator" zum Loggen erstellen. Du Kannst auch in den Einstellungen der Website den Zugriff auf "anonym" beschränken. -Zahni Zitieren
PatrickKByte 12 Geschrieben 28. Mai 2006 Autor Melden Geschrieben 28. Mai 2006 1. Schritt wäre den Administrator umzubennen in irgendwas Schräges. Dann einen "Dummy-Administrator" zum Loggen erstellen. Du Kannst auch in den Einstellungen der Website den Zugriff auf "anonym" beschränken. -Zahni D.h. ich gehe echt in das AD und nenne meinen Domänen-Administrator um!? Riskier ich dabei sonst noch etwas, oder geht das einfach stressfrei? Den Dummy-Administrator lege ich dann als Benutzer mit eingeschänkten Rechten an, der dann garnichts darf, oder wie? Ich würde den jetzt als neuen (Domänen?)Benutzer anlegen und dem sämtliche Lese- und Schreibrechte verbieten. Das mit dem "anonym" wäre interessant. Wie siehts dann mit dem OWA aus? Die User sind ja nicht "anonym". klappt das dann trotzdem noch? Vielen Dank für deinen Tipp! Zitieren
ChristianHemker 10 Geschrieben 28. Mai 2006 Melden Geschrieben 28. Mai 2006 Hier findest du was über das Umbenennen des Administrators: http://www.microsoft.com/germany/technet/datenbank/articles/900123.mspx#EVH Dann einfach einen normalen Domänenbenutzer mit Benutzernamen Administrator anlegen. Extra verbieten musst du dem nichts, es reicht wenn er in keiner Gruppe drin ist, dann darf er ja schon fast nichts. Zitieren
zahni 571 Geschrieben 28. Mai 2006 Melden Geschrieben 28. Mai 2006 Wenn sich ein User an irgendwas anmelden muß, geht es natürlich nicht. Ist doch logisch, oder ? Sorry, OWA kenne ich weiter nicht. Wir dürfen Notes benutzen ;) -Zahni Zitieren
PatrickKByte 12 Geschrieben 4. Juni 2006 Autor Melden Geschrieben 4. Juni 2006 Dann einen "Dummy-Administrator" zum Loggen erstellen. Ich danke dir vielmals für den Tipp. Kannst du mir sagen, was alles im Administrator-Konto geloggt wird, was ich nicht auch mit meinem "echten" umbenannten ADmin nicht kann? Zitieren
ChristianHemker 10 Geschrieben 5. Juni 2006 Melden Geschrieben 5. Juni 2006 Es geht wohl vielmer darum, dass jemadn von Außen einen Eindringversuch zuerst auf den Account mit dem Benutzernamen "Administrator" versuchen wird. Ist dieser bei dir nicht vorhanden kannst du diese Versuche erstens nicht mitloggen, zweitens merkt der Angreifer dieses evtl. und konzentriert seine Versuche nicht mehr auf den Dummy Account. Zitieren
PatrickKByte 12 Geschrieben 5. Juni 2006 Autor Melden Geschrieben 5. Juni 2006 Okay. Soweit, so gut. Mein neuer "echter" ADmin hat jetzt nur ein kleines Problem mit McAfees Protection Pilot. Ich werde den MIst nochmal rückgängig machen müssen, um den Protection Pilot zu deinstellieren udn dann unter meinem echten erneut zu installieren. Es ist NICHT möglich, das Teil über den anderen, echten Admin zu verwalten. Ich sehe jetzt im Ereignisprotokoll viele Loginprobleme über den IIS vom Server selbst (Ereigniskennung 539), und das hat sogar schon meinen Dummy-Administrator gesperrt... tsts. Zitieren
zahni 571 Geschrieben 6. Juni 2006 Melden Geschrieben 6. Juni 2006 Schau Dir mal die Dienste an. Dort kannst Du ein anderes Konto zu Anmeldung einstellen. -Zahni Zitieren
PatrickKByte 12 Geschrieben 6. Juni 2006 Autor Melden Geschrieben 6. Juni 2006 Hab ich gemacht. Aber der Protection Pilot hat daran kein Interesse und stoppt den Dienst wieder... Ich werds mit Gewalt probieren. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.