Grzesiek 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Confihuration: SBS 2003 R2 , Clients XP Pro, Hardware Firewall Netgear FVX 538 einkommente Ports alle geschlossen bis auf HTTPS + SMTP Statische WAN IP Alle Updates sind installiert Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Seit 3 Tagen habe ich in der Ereignissanzeige Anmeldeversuche mit diversen Benutzernamen die nicht existieren. Ein Name war sogar ein Treffer, das Konto wurde nach mehreren Fehlversuchen gesperrt. Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: inna Domäne: Anmeldetyp: 3 Anmeldevorgang: Advapi Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Name der Arbeitsstation: SERVER Aufruferbenutzername: SERVER$ Aufruferdomäne: LOKALEDOMAIN Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 1892 Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Fehlgeschlagene Anmeldung: Grund: Unbekannter Benutzername oder falsches Kennwort Benutzername: administrator Domäne: GM-COMP Anmeldetyp: 10 Anmeldevorgang: User32 Authentifizierungspaket: Negotiate Name der Arbeitsstation: SERVER Aufruferbenutzername: SERVER$ Aufruferdomäne: DOMAINNAME Aufruferanmeldekennung: (0x0,0x3E7) Aufruferprozesskennung: 532 Übertragene Dienste: - Quellnetzwerkadresse: 94.249.147.131 Quellport: 17845 Was kann ich noch tun um dieses zu verhindern ? Zitieren
zahni 569 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Die IP-Adresse scheint aus D zu sein: getpos.de :: Whois-Abfrage Einfach mal da anrufen und fragen, was Die auf Deinem Server wollen. -Zahni Zitieren
dmetzger 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Ein Name war sogar ein Treffer, das Konto wurde nach mehreren Fehlversuchen gesperrt. Benutzername: administrator Was kann ich noch tun um dieses zu verhindern ? Und falls der Namenstreffer der "Administrator" war, ist es bestimmt jetzt an der Zeit, diesen gemäss Best Practices umzubenennen und ggf. - nach Erstellung eines neuen Domänenadmins - zu deaktivieren. Zitieren
carlito 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Und falls der Namenstreffer der "Administrator" war, ist es bestimmt jetzt an der Zeit, diesen gemäss Best Practices umzubenennen und ggf. - nach Erstellung eines neuen Domänenadmins - zu deaktivieren. Ähm... Zitieren
Grzesiek 10 Geschrieben 1. Februar 2011 Autor Melden Geschrieben 1. Februar 2011 der Administrator war es nicht den habe ich bei der Serverinstallation umbenannt habe ich aber auch schon am anfang geschrieben Zitieren
carlito 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Confihuration:SBS 2003 R2 , Clients XP Pro, Hardware Firewall Netgear FVX 538 einkommente Ports alle geschlossen bis auf HTTPS + SMTP Bist du sicher, dass alle Ports bis auf 443 und 25 geschlossen sind? Wurde das durch einen von extern ausgeführten Portscan bestätigt? Zitieren
dmetzger 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Ähm... @Carlito: Du hast Recht. der Administrator war es nicht den habe ich bei der Serverinstallation umbenannt habe ich aber auch schon am anfang geschrieben @Grzesiek: Du hast in diesem Fall auch Recht. Mir war nicht klar, ob das vor dem Fremdzugriff war oder eine Massnahme danach, denn da stand ohne zeitliche Einordnung: Das Admin Konto habe ich mal in der Sicherheitrichtlinie umbenannt Deshalb...: falls der Namenstreffer der "Administrator" war, ... habe für einmal auch ich ein bisschen Recht. :D Zitieren
Grzesiek 10 Geschrieben 1. Februar 2011 Autor Melden Geschrieben 1. Februar 2011 Port-Scans | heise Security WinBoard - Die Windows Community NS Remote Port Scanner 1.32 in Netzwerk - IT-Profi-Tools - Windows | Downloads | ZDNet.de wie gut der portscan dort ist , hmmm jedenfalls zeigt dieser nur 25 + 443 als offen an Ich werde alle Mobiltelefone auf VPN umstellen dann kann auch https geschlossen werden Zitieren
Grzesiek 10 Geschrieben 1. Februar 2011 Autor Melden Geschrieben 1. Februar 2011 der admin war es nicht es war einfach ein test Konto mit sehr langen Passwort mit Umlauten. LOPHT-Crack konnte das Passwort nicht auslesen. Zitieren
zahni 569 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 Testt der Server einfach mal von zu Hause mit nmap: Netzwerkscanner nmap in neuer Version | heise Security Was die Netgear FW alles kann, k.a. Ich hoffe, es ist etwas mehr als in simpler Portfilter. Wenn "noch mehr Sicherheit" gewünscht ist, ist vielleicht der Forefront Threat Management Gateway - Microsoft Forefront was für Dich. -Zahni Zitieren
carlito 10 Geschrieben 1. Februar 2011 Melden Geschrieben 1. Februar 2011 jedenfalls zeigt dieser nur 25 + 443 als offen an Deine geposteten Daten lassen mich etwas anderes glauben. Sag mal deine WAN IP. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.