Eindringversuch?
Moin, moin,
seit einigen Wochen laufen bei uns auf einem Domänencontroller (Windows 2003 Server) in der Ereignisanzeige im Abschnitt Sicherheit permanent die unten stehenden Einträge auf und müllen das Protokoll zu. Der Eintrag mit der Ereigniskennung 565 taucht dabei zwischen einem Anmelde- (540) und einem Abmeldevorgang (538) mehrfach auf. Offensichtlich meldet sich ein Rechner namens MANGO$ auf unserem Server an, tut etwas und meldet sich wieder ab. MANGO$ ist jedoch nicht Mitglied in unserer Domäne, ebenfalls nicht der Nutzer von MANGO$.
Kann mir jemand hier mal erklären, was diese Einträge bedeuten und was MANGO$ auf unserem Server anstellt? Wie kann sich ein Computer, der nicht zur Domäne gehört, überhaupt anmelden? Kann ich MANGO$ irgendwie sperren?
Leider hat mir bisher die Recherche im Netz nicht weiter geholfen und unsere anderen Admins wissen auch keinen Rat. Könnt Ihr mir helfen?
Vielen Dank für Eure Tips und Hinweise!
Viele Grüße
Jörg Radomski
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {0c855d6c-8b1b-5f32-c999-1e525035ab8b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xx.xxx.191
Quellport: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
[...]
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 20.07.2009
Zeit: 13:02:00
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Benutzerabmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
seit einigen Wochen laufen bei uns auf einem Domänencontroller (Windows 2003 Server) in der Ereignisanzeige im Abschnitt Sicherheit permanent die unten stehenden Einträge auf und müllen das Protokoll zu. Der Eintrag mit der Ereigniskennung 565 taucht dabei zwischen einem Anmelde- (540) und einem Abmeldevorgang (538) mehrfach auf. Offensichtlich meldet sich ein Rechner namens MANGO$ auf unserem Server an, tut etwas und meldet sich wieder ab. MANGO$ ist jedoch nicht Mitglied in unserer Domäne, ebenfalls nicht der Nutzer von MANGO$.
Kann mir jemand hier mal erklären, was diese Einträge bedeuten und was MANGO$ auf unserem Server anstellt? Wie kann sich ein Computer, der nicht zur Domäne gehört, überhaupt anmelden? Kann ich MANGO$ irgendwie sperren?
Leider hat mir bisher die Recherche im Netz nicht weiter geholfen und unsere anderen Admins wissen auch keinen Rat. Könnt Ihr mir helfen?
Vielen Dank für Eure Tips und Hinweise!
Viele Grüße
Jörg Radomski
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {0c855d6c-8b1b-5f32-c999-1e525035ab8b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xx.xxx.191
Quellport: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Berechtigungen -
Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server
Zugriffsmaske: 0
[...]
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 20.07.2009
Zeit: 13:02:00
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Benutzerabmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120860
Url: https://administrator.de/forum/eindringversuch-120860.html
Ausgedruckt am: 02.05.2025 um 08:05 Uhr