Administratorkonto wird immer gesperrt

[Krypto 10]

Hallo,

 

im Ereignisprotokoll erscheint folgende Meldung im Abstand von 5min:

 

Ereignis ID: 529, Benutzer: NT-Authorität\System

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: administrator

Domäne: meineDomäne

Anmeldetyp: 2

Anmeldevorgang: Advapi

Authentifizierungspaket: Negotiate

Name der Arbeitsstation: DC

Aufruferbenutzername: DC$

Aufruferdomäne: meineDomäne

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 2348

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

 

Irgendwann ist dann das administratorkonto gesperrt.

 

Anmeldetyp2 soll "Console logon - interactive from the computer console." sein, ich habe alle Konsolen gecheckt - es liegt keine Anmeldung vor

 

Wonach kann ich noch suchen?

 

Gruß Krypto

[GerhardG 10]

irgendwelche geplanten tasks die mit dem admin user laufen?

[Krypto 10]

nein, habe ich schon alles überprüft. es gibt nur auf einem Server (sharepoint portal server) geplante Task mit dem System als User

[carlito 10]

Vielleicht ein Dienst, der unter dem Admin Account läuft, aber ein falsches Passwort verwendet.

[Krypto 10]

nein auch nicht, schon geprüft

 

sorry hatte ich vergessen zu schreiben.

[blub 115]

benenn halt einfach den Administrator um und erstell einen Dödeluser mit dem Namen Administrator.

 

cu

blub

[Krypto 10]

Hallo blub,

 

ich kann dir nicht folgen wie damit das Problem aus der Welt geschaffen werden kann?

[grizzly999 11]

Ist das der original Administrator? Kann ja fast nicht sein, denn dieses Konto unterliegt nicht der Kontensperrungsschwelle :suspect:

 

 

grizzly999

[Krypto 10]

Hallo Grizzly999,

 

du hast natürlich recht, es ist ein erstellter Benutzer der "admin" heißt. Dieser ist in der Gruppe der Domänenadministratoren und wird bei uns für administrativen Zugang zu den System genutzt. Dieses Konto wird aber nicht mit einem Dienst oder geplanten Task verwendet.

 

Aus Gründen der Firmensicherheit hatte ich die Namen (Admin und DC) geändert. Sorry.

 

Gruß Krypto

[XP-Fan 220]

Hallo,

 

da versucht wohl jemand den Admin zu knacken, kann auch per RDP mit Option /console passieren.

Ich würde mir auf jeden Fall die Überwachung aktivieren und dem Problem nachgehen.

Weiterhin würde ich das Passwort ( in ein sicheres ) des Admin ändern, sodaß der Zugriff nicht möglich wird für aussenstehende Benutzer.

[sysiphos 10]

Hallo,

in deiner LOG steht Anmeldevorgang: ADVAPI

les dir bitte mal diesen Beitrag dazu durch unter Erläuterung, ich hoffe der hilft dir.

 

Gruß

Enzo

[satan 10]

Brute Force sowie es aussieht! Admin umbenennen!

[Krypto 10]

Hallo,

 

ich denke dass ich nun einen kleinen Schritt weiter bin.

 

Wie es aussieht handelt es sich nicht um eine BruteForce Attacke gegen den Admin bzw. sollte es kein Virus/ Wurm sein.

 

Die Aufruferprozesskennung ist nämlich die PID und diese weist auf "wmiserver.exe" hin.

 

Im Internet finde ich Infos die auf den Insight Manager von HP hinweisen. Habt ihr hierzu noch eine Idee.

 

Danke für die Tipps eurerseits.

 

Gruß Krypto

[Krypto 10]

so, Problem gelöst :-)

 

es handelt sich hierbei um die Software Pegasus WMI Mapper, welche bei der Installation von HP System Insight Manager ebenfalls installiert werden kann. Diese wir dann als Dinst eingerichtet. Ebenso versucht diese dann mit einem admin Konto auf das System zuzugreifen, was dann aber nicht geht, weil das system denkt der "erstellte" admin der Domäne will sich anmelden.

 

puuhhh, so was schafft mich immer.

 

Danke für die Hilfen. Schönen sonnigen Tag und beste WM-Laune-

 

Gruß Krypto