Frage zu event id 4768 Win Server 2008
Hallo Leute,
ich habe mal eine Frage zur Event ID 4768.
Ich weiß zwar was mir die Meldung sagt, aber ich verstehe in meinem Fall einfach nicht wo die herkommt,
bzw wie ich die deuten soll....
Vielleicht übersehe ich auch etwas ganz einfaches, aber ich wäre für einen Denkanstoß dankbar....
Folgender Systemaufbau:
Windows Server 2008, als ActiveDirectory, IP 192.168.2.10
Auf dem Server läuft eine WinXP Pro VM, IP 192.168.2.11
In dem Speedport Router ist der Port 3389 für RDP offen und an die
XP-VM weitergeleitet.
Der Rest vom Internen Netzwerk ist denke ich mal nicht von Bedeutung..
---> Ich weiß dass RDP über 3389 absolut unsicher ist!!!!!!! darum geht es mir hier
auch nicht. Ich möchte versuchen die Meldung zu verstehen.
Im Eventlog vom Server kommt ständig die Event-ID 4768 mit folgenden Daten:
Kontoname: owner
Angegebener Bereichsname: meinedomain
Benutzer-ID: NULL SID
Dienstname: krbtgt/meinedomain
Dienst-ID: NULL SID
Netzwerkinformationen:
Clientadresse: 192.168.2.11
Clientport: 2180
Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x6
Ticketverschlüsselungstyp: 0xffffffff
Typ vor der Authentifizierung: -
Da die Meldung schnell hintereinander auftritt, mit verschiedenen Kontennamen, dachte ich an einen
Bruteforce Angriff über RDP. Der Ergebniscode 0x6 heißt dass es das Konto nicht gibt im AD. Das ist auch
richtig.
Auf der WinXP Maschine ist das Eventlog sauber.
Was ich nicht verstehe ist: Die fehlgeschlagene Anmeldung kommt von der XP Maschine, das sagt mir
die Zeile "Clientadresse:..."
Aber warum auf Port 2180?
Und: nicht nur die Kontennamen wechseln, sondern die Clientports sind auch immer unterschiedlich (zwischen 0 und 4000)
Die Xp-Maschine ist laut Virenscanner sauber...
Könnt Ihr mir einen Denkanstoß geben wo ich anfangen kann nach der Ursache zu suchen?
Und natürlich ist Absichern via VPN der richtige Schritt, im Produktivsystem ist das auch existent,
aber ich würde gerne wissen was da zur Zeit in meinem System abgeht...
vielen Dank schonmal,
grüße Nuggler
ich habe mal eine Frage zur Event ID 4768.
Ich weiß zwar was mir die Meldung sagt, aber ich verstehe in meinem Fall einfach nicht wo die herkommt,
bzw wie ich die deuten soll....
Vielleicht übersehe ich auch etwas ganz einfaches, aber ich wäre für einen Denkanstoß dankbar....
Folgender Systemaufbau:
Windows Server 2008, als ActiveDirectory, IP 192.168.2.10
Auf dem Server läuft eine WinXP Pro VM, IP 192.168.2.11
In dem Speedport Router ist der Port 3389 für RDP offen und an die
XP-VM weitergeleitet.
Der Rest vom Internen Netzwerk ist denke ich mal nicht von Bedeutung..
---> Ich weiß dass RDP über 3389 absolut unsicher ist!!!!!!! darum geht es mir hier
auch nicht. Ich möchte versuchen die Meldung zu verstehen.
Im Eventlog vom Server kommt ständig die Event-ID 4768 mit folgenden Daten:
Kontoname: owner
Angegebener Bereichsname: meinedomain
Benutzer-ID: NULL SID
Dienstname: krbtgt/meinedomain
Dienst-ID: NULL SID
Netzwerkinformationen:
Clientadresse: 192.168.2.11
Clientport: 2180
Weitere Informationen:
Ticketoptionen: 0x40810010
Ergebniscode: 0x6
Ticketverschlüsselungstyp: 0xffffffff
Typ vor der Authentifizierung: -
Da die Meldung schnell hintereinander auftritt, mit verschiedenen Kontennamen, dachte ich an einen
Bruteforce Angriff über RDP. Der Ergebniscode 0x6 heißt dass es das Konto nicht gibt im AD. Das ist auch
richtig.
Auf der WinXP Maschine ist das Eventlog sauber.
Was ich nicht verstehe ist: Die fehlgeschlagene Anmeldung kommt von der XP Maschine, das sagt mir
die Zeile "Clientadresse:..."
Aber warum auf Port 2180?
Und: nicht nur die Kontennamen wechseln, sondern die Clientports sind auch immer unterschiedlich (zwischen 0 und 4000)
Die Xp-Maschine ist laut Virenscanner sauber...
Könnt Ihr mir einen Denkanstoß geben wo ich anfangen kann nach der Ursache zu suchen?
Und natürlich ist Absichern via VPN der richtige Schritt, im Produktivsystem ist das auch existent,
aber ich würde gerne wissen was da zur Zeit in meinem System abgeht...
vielen Dank schonmal,
grüße Nuggler
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263326
Url: https://administrator.de/forum/frage-zu-event-id-4768-win-server-2008-263326.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
1 Kommentar