kompakti
Goto Top

PC baut ungewollt Verbindungen zu Windows-Servern über Port 445 auf

Guten Tag zusammen,

ich beobachte vermehrt, dass diverse PCs, obwohl kein Grund besteht, Verbindungen zu Servern über Port 445 aufbauen.
Dies wird natürlich über die Firewall unterbunden, trotzdem sollte diese Verbindung nicht zustande kommen.

Daher die Fragen in die Runde:
Ist so etwas bekannt?
Was könnte der Auslöser sein?

Content-ID: 32011298440

Url: https://administrator.de/forum/pc-baut-ungewollt-verbindungen-zu-windows-servern-ueber-port-445-auf-32011298440.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

ElCativoGER
ElCativoGER 17.11.2023 um 13:58:21 Uhr
Goto Top
Ist vermutlich eine SMB Anfrage.
Checkt ob Freigaben bestehen etc.
Kann aber auch Einfallstor sein.
aqui
aqui 17.11.2023 um 14:01:42 Uhr
Goto Top
Anhand der IP Adressen bzw. Mac lässt sich ja genau feststellen zu welchen Zielen das geschieht.
Wireshark ist, wie immer, dein bester Freund!
kompakti
kompakti 17.11.2023 um 14:07:07 Uhr
Goto Top
Anhand der Firewall-Logs kann ich Quelle und Ziel genau definieren, diese Geräte sollten keinesfalls miteinander kommunizieren. Freigaben gibt es dort nicht.
Vision2015
Vision2015 17.11.2023 um 14:12:44 Uhr
Goto Top
moin...
Zitat von @kompakti:

Anhand der Firewall-Logs kann ich Quelle und Ziel genau definieren, diese Geräte sollten keinesfalls miteinander kommunizieren. Freigaben gibt es dort nicht.
ok, wenn du schon fragst, möchtest du uns nicht an deinen Logs teilhaben lassen?

Frank
DerWoWusste
DerWoWusste 17.11.2023 aktualisiert um 14:26:45 Uhr
Goto Top
Freigaben gibt es dort nicht.
Nun ja.
Beispiel: jemand fragt von sich aus via Netzwerk auf Server X ab, welche Nutzer dort angemeldet sind mittels:
quser /server:ServerX
Auch dabei wird Port 445 benutzt (siehe Procmoneintrag von quser.exe (Dateifilter)): \\ServerX\pipe\LSM_API_service)
Hubert.N
Hubert.N 17.11.2023 um 16:16:38 Uhr
Goto Top
Freigaben gibt es dort nicht.
Nun ja. face-wink
Hat Du die administrativen Freigaben des Systems deaktiviert?
aqui
aqui 26.11.2023 um 14:55:48 Uhr
Goto Top
Wenn es das denn nun war:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!
kompakti
Lösung kompakti 09.12.2023 um 17:12:22 Uhr
Goto Top
Das Problem konnte mittlerweile gelöst werden.
Ursache waren alte Regestry-Einträge.
Im DNS waren noch Einträge vorhanden, die auf einen alten Server zeigten.
Früher war dahinter ein NAS platziert, worüber Software installiert wurde.