kompakti
Goto Top

PC baut ungewollt Verbindungen zu Windows-Servern über Port 445 auf

Guten Tag zusammen,

ich beobachte vermehrt, dass diverse PCs, obwohl kein Grund besteht, Verbindungen zu Servern über Port 445 aufbauen.
Dies wird natürlich über die Firewall unterbunden, trotzdem sollte diese Verbindung nicht zustande kommen.

Daher die Fragen in die Runde:
Ist so etwas bekannt?
Was könnte der Auslöser sein?

Content-Key: 32011298440

Url: https://administrator.de/contentid/32011298440

Printed on: February 29, 2024 at 22:02 o'clock

Member: ElCativoGER
ElCativoGER Nov 17, 2023 at 12:58:21 (UTC)
Goto Top
Ist vermutlich eine SMB Anfrage.
Checkt ob Freigaben bestehen etc.
Kann aber auch Einfallstor sein.
Member: aqui
aqui Nov 17, 2023 at 13:01:42 (UTC)
Goto Top
Anhand der IP Adressen bzw. Mac lässt sich ja genau feststellen zu welchen Zielen das geschieht.
Wireshark ist, wie immer, dein bester Freund!
Member: kompakti
kompakti Nov 17, 2023 at 13:07:07 (UTC)
Goto Top
Anhand der Firewall-Logs kann ich Quelle und Ziel genau definieren, diese Geräte sollten keinesfalls miteinander kommunizieren. Freigaben gibt es dort nicht.
Member: Vision2015
Vision2015 Nov 17, 2023 at 13:12:44 (UTC)
Goto Top
moin...
Zitat von @kompakti:

Anhand der Firewall-Logs kann ich Quelle und Ziel genau definieren, diese Geräte sollten keinesfalls miteinander kommunizieren. Freigaben gibt es dort nicht.
ok, wenn du schon fragst, möchtest du uns nicht an deinen Logs teilhaben lassen?

Frank
Member: DerWoWusste
DerWoWusste Nov 17, 2023 updated at 13:26:45 (UTC)
Goto Top
Freigaben gibt es dort nicht.
Nun ja.
Beispiel: jemand fragt von sich aus via Netzwerk auf Server X ab, welche Nutzer dort angemeldet sind mittels:
quser /server:ServerX
Auch dabei wird Port 445 benutzt (siehe Procmoneintrag von quser.exe (Dateifilter)): \\ServerX\pipe\LSM_API_service)
Member: Hubert.N
Hubert.N Nov 17, 2023 at 15:16:38 (UTC)
Goto Top
Freigaben gibt es dort nicht.
Nun ja. face-wink
Hat Du die administrativen Freigaben des Systems deaktiviert?
Member: aqui
aqui Nov 26, 2023 at 13:55:48 (UTC)
Goto Top
Member: kompakti
Solution kompakti Dec 09, 2023 at 16:12:22 (UTC)
Goto Top
Das Problem konnte mittlerweile gelöst werden.
Ursache waren alte Regestry-Einträge.
Im DNS waren noch Einträge vorhanden, die auf einen alten Server zeigten.
Früher war dahinter ein NAS platziert, worüber Software installiert wurde.