22
Benutzerkonten in einer Domäne sind immer wieder gesperrt
Hallo alle miteinander,
Wir haben in unserer Domäne massive Probleme mit den Benutzerkonten. Alle Benutzerkonten (inkl. Admins) werden ständig von unseren Domänencontroller gesperrt, teilweise sind die Benutzer gar nicht im Unternehmen (z.B. Urlaub). Wir haben 6 Filialen und alle Server in den Filialen schon mehrfach neu gestartet. Leider ohne Erfolg.
Langsam gehen uns die Ideen aus, deshalb hoffe ich dass uns hier jemand helfen kann. Wenn ihr noch weitere Info's braucht dann fragt mich bitte.
Vielen Dank !
Gruß Frank
Wir haben in unserer Domäne massive Probleme mit den Benutzerkonten. Alle Benutzerkonten (inkl. Admins) werden ständig von unseren Domänencontroller gesperrt, teilweise sind die Benutzer gar nicht im Unternehmen (z.B. Urlaub). Wir haben 6 Filialen und alle Server in den Filialen schon mehrfach neu gestartet. Leider ohne Erfolg.
Langsam gehen uns die Ideen aus, deshalb hoffe ich dass uns hier jemand helfen kann. Wenn ihr noch weitere Info's braucht dann fragt mich bitte.
Vielen Dank !
Gruß Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117978
Url: https://administrator.de/contentid/117978
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
22 Kommentare
Neuester Kommentar
Bei solchen Problemen solltest du mal schaun ob du im Eventlog der / des Server(s) Einträge findest, welche annormal sind.
Ja was sagen denn die Eventlogs? Werden die Konten wegen falsch eingabe des Passwortes gesperrt? Speichert ihr den Benutzernamen oder bleibt das Feld leer wenn der Nutzer sich abgemeldet hat?
Fragen ueber Fragen....
Fragen ueber Fragen....
Hi,
Erstmal Danke für die schnelle Hilfe. Genau die Konten werden wegen falscher Passwörter gesperrt. Das kuriose ist das die Benutzer teilweise gar nicht vor Ort sind. Wenn ein Benutzer sich am PC abmeldet bleibt der Name drin stehen. (oder habe ich das jetzt falsch verstanden?)
Erstmal Danke für die schnelle Hilfe. Genau die Konten werden wegen falscher Passwörter gesperrt. Das kuriose ist das die Benutzer teilweise gar nicht vor Ort sind. Wenn ein Benutzer sich am PC abmeldet bleibt der Name drin stehen. (oder habe ich das jetzt falsch verstanden?)
Das koennte zum Beispiel eine Fehlerquelle sein. Es gibt nutzer die schauen gar nach ob ihr Benutzername eingetragen ist. Damit sperren sie natuerlich dann das Konto ihrer lieben Kollegen.
Meiner Ansicht nach ist das Sperren von Nutzeraccounts nach drei Fehleingaben ein Risiko. Eine DOS-Attacke laesst sich so sehr einfach durchfuehren.
Mein Vorschlag fuer dich waere einmal den letzten Benutzernamen grundsaetzlich nicht im Anmeldefenster zu speichern.
Zusaetzlich wuerde ich die Konten nach falscher Passworteingabe nach 15 min wieder automatisch entsperren lassen.
Meiner Ansicht nach ist das Sperren von Nutzeraccounts nach drei Fehleingaben ein Risiko. Eine DOS-Attacke laesst sich so sehr einfach durchfuehren.
Mein Vorschlag fuer dich waere einmal den letzten Benutzernamen grundsaetzlich nicht im Anmeldefenster zu speichern.
Zusaetzlich wuerde ich die Konten nach falscher Passworteingabe nach 15 min wieder automatisch entsperren lassen.
Hi Gagarin,
Zu Punkt 1: Wäre eine Möglichkeit, dann wären aber doch nicht alle Konten gesperrt (vor allem nicht die Domänen Administrator Konten)
Kann man vielleicht wirklich von einer Brute Force Attacke sprechen? Wenn ja was kann man da machen? Am Montag war auch Patchday von MS, könnte da vielleicht was im ADS kaputt gegangen sein?
Gruß Frank
Zu Punkt 1: Wäre eine Möglichkeit, dann wären aber doch nicht alle Konten gesperrt (vor allem nicht die Domänen Administrator Konten)
Kann man vielleicht wirklich von einer Brute Force Attacke sprechen? Wenn ja was kann man da machen? Am Montag war auch Patchday von MS, könnte da vielleicht was im ADS kaputt gegangen sein?
Gruß Frank
Hallo!
Diese Probleme hatten wir bei uns in der Firma auch gehabt.
Bei uns war es ein Virus.
Ich würde einfach mal nur zur Sicherheit das Tool von Microsoft (Tool zum entfernen bösartiger Software) über die Rechner (Server) laufen lassen.
Diese Probleme hatten wir bei uns in der Firma auch gehabt.
Bei uns war es ein Virus.
Ich würde einfach mal nur zur Sicherheit das Tool von Microsoft (Tool zum entfernen bösartiger Software) über die Rechner (Server) laufen lassen.
Ok wird gemacht!
Vielen Dank!
Vielen Dank!
Kann aber ewig dauern bis das Tool durchgelaufen ist. Also Geduld
haben.
haben.
Ich bin davon ausgegangen das Ihr schon ein Antivirenscan durchgefuehrt hattet.
Um zu sagen ob es sich dabei um ein Brute Force attacke handelt gibts einfach zu wenig informationen
Um zu sagen ob es sich dabei um ein Brute Force attacke handelt gibts einfach zu wenig informationen
Unser Virenscanner (MacAffee) hatte nichts gefunden. Das Microsoft Tool läuft gerade.
Das Microsoft Tool zum entfernen bösartiger Software hat leider nichts gefunden.
Noch jemand eine Idee?
Noch jemand eine Idee?
Hi,
kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.
Grüße
kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.
Grüße
Zitat von @riesenhil:
Hi,
kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet
ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.
Grüße
Hi,
kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet
ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.
Grüße
Was würde das bewirken? Verstehe nicht ganz.
Ich moechte ja nicht nerven aber ich denke mal ein Blick in die Eventlogs waere wirklich hilfreich.
Hi alle miteinander,
Es war offensichtlich der Wurm "Conficker, wir sind gerade dabei ihn zu entfernen.Danke für eure Hilfe. Ich melde mich nochmal wenn die Sache gegessen ist.
Gruß Frank
Es war offensichtlich der Wurm "Conficker, wir sind gerade dabei ihn zu entfernen.Danke für eure Hilfe. Ich melde mich nochmal wenn die Sache gegessen ist.
Gruß Frank
Wie ihr vorgehen müsst wisst ihr oder?
Das Ding ist hässlich und nicht so ohne weiteres zu entfernen.
LG
Das Ding ist hässlich und nicht so ohne weiteres zu entfernen.
LG
Warum hat McAfee nicht Alarm geschlagen?!?
Also wenn ein Scanner Alarm schlägt, ist es in der Regel eh zu spät. Da der Wurm dann bereits im Netz ist.
Und wenn ich die Posts so lese, scannt ihr online. Oder?
Wie gesagt, unterschätzt das Thema nicht.
Ich kann leider hier keine direkten Tipps geben, da unsere Kunden diese Informationen kostenpflichtig erhalten. Da dies ein von den Herstellern nicht supporteter Zustand ist. Daher auch Kostenpflichtig.
Ein Tipp vorweg. Belest Euch bei dem, was ihr tut.
Und wenn ich die Posts so lese, scannt ihr online. Oder?
Wie gesagt, unterschätzt das Thema nicht.
Ich kann leider hier keine direkten Tipps geben, da unsere Kunden diese Informationen kostenpflichtig erhalten. Da dies ein von den Herstellern nicht supporteter Zustand ist. Daher auch Kostenpflichtig.
Ein Tipp vorweg. Belest Euch bei dem, was ihr tut.
@deeboo
Wenn bei uns zb. ein USB-Stick angeschlossen wird und er mit einer Confickervariante infiziert ist werden die entsprechenden Files entweder geblockt, gelöscht und/oder in Quarantäne verschoben. Ich wuesste nicht was daran zu spaet sein sollte.
Hier noch eine Link zum McAfee Stinger um die Probleme mit Conficker zu loesen: http://vil.nai.com/vil/averttools.aspx
Andere Frage.... wie kommt ihr eigentlich darauf das es sich um Conficker handelt?
Wenn bei uns zb. ein USB-Stick angeschlossen wird und er mit einer Confickervariante infiziert ist werden die entsprechenden Files entweder geblockt, gelöscht und/oder in Quarantäne verschoben. Ich wuesste nicht was daran zu spaet sein sollte.
Hier noch eine Link zum McAfee Stinger um die Probleme mit Conficker zu loesen: http://vil.nai.com/vil/averttools.aspx
Andere Frage.... wie kommt ihr eigentlich darauf das es sich um Conficker handelt?
Hi Leute,
Der Wurm war auf einem PC welcher zwar in unserem IP Kreis ist jedoch nicht in der Domäne angemeldet ist. Der Rechner hat noch Windows 2000 drauf... Mit einem McAffee Tool (McAfee Conficker Detection Tool) konnte ich die IP's abscannen und dann wurde der Wurm entdeckt.
Den Stinger habe ich auf CD gebrannt und dann den Wurm entfernt. Scheint alles funktioniert zu haben... oder muss ich mir noch Sorgen machen?
Gruß Frank
Der Wurm war auf einem PC welcher zwar in unserem IP Kreis ist jedoch nicht in der Domäne angemeldet ist. Der Rechner hat noch Windows 2000 drauf... Mit einem McAffee Tool (McAfee Conficker Detection Tool) konnte ich die IP's abscannen und dann wurde der Wurm entdeckt.
Den Stinger habe ich auf CD gebrannt und dann den Wurm entfernt. Scheint alles funktioniert zu haben... oder muss ich mir noch Sorgen machen?
Gruß Frank
Hallo!
Wir hatten auch mit dem Wurm zu kämpfen und haben den Wurm mehr oder weniger erfolgreich entfernt (wenn man von entfernen reden kann).
Unser Antiviren Programm (Norton) hat auch nichts gemeldet. Wir hatten das Tool von Microsoft laufen und direkt bei der RTVScan.exe hat das Tool den Wurm angezeigt
und im Abschlussbericht gesagt, dass kein Virus gefunden wurde. Unsere Vermutung ist, dass das Tool davon ausgeht, das ein ein Antivirusprogramm nicht infiziert sein kann.
Bei uns war es aber so.
Wir hatten auch mit dem Wurm zu kämpfen und haben den Wurm mehr oder weniger erfolgreich entfernt (wenn man von entfernen reden kann).
Unser Antiviren Programm (Norton) hat auch nichts gemeldet. Wir hatten das Tool von Microsoft laufen und direkt bei der RTVScan.exe hat das Tool den Wurm angezeigt
und im Abschlussbericht gesagt, dass kein Virus gefunden wurde. Unsere Vermutung ist, dass das Tool davon ausgeht, das ein ein Antivirusprogramm nicht infiziert sein kann.
Bei uns war es aber so.
McAfee erkennt den alle Variante jetzt zuverlässig. Es ist natürlich dumm gelaufen wenn der AV-Schutz der Nodes und der Patchlevel nicht 100 % ig ist.
