Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RDP Benutzer werden automatisch im Active Directory gesperrt

Mitglied: aif-get

aif-get (Level 1) - Jetzt verbinden

12.11.2019 um 13:06 Uhr, 315 Aufrufe, 9 Kommentare, 2 Danke

Hallo,

wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.

Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.

Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.

Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.

Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.

Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.

danke schonmal
Mitglied: Hubert.N
12.11.2019 um 13:22 Uhr
Moin

Um zu sehen, wie das Konto von wo gesperrt worden ist, musst Du halt mal die Protokolle durchforsten. Oder mal alternativ ein Tool wie z.B. den lockout examiner bemühen.

(...) welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben (...)

Mir wird gerade schlecht... Als erstes würde ich mal auf ein vernünftiges Design setzen. NAT auf die Rechner im Firmen-LAN?? Egal ob Du die Ports in höhere Sphären schiebst - das nützt nichts - sicherheitstechnisch eine Sache aus der Kategorie "katastrophal"...

Gruß
Bitte warten ..
Mitglied: itisnapanto
12.11.2019 um 14:23 Uhr
Zitat von aif-get:

Hallo,

wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.

Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.

Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.

Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.

Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.

Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.

danke schonmal

Moin

Ist ja auch kein Wunder . Wenn ich mir so die Logs unserer Firewall angucke , versuchen immer dubiose IPs einen Portscan auf unsere öffentliche IP's. Das wird bei dir auch so sein . Schalte den Müll schnellstens ab und richte eine gescheite Lösung ein . IPsec oder SSL VPN mit entsprechenden Firewallregeln. Besser noch . Die Mitarbeiter können nur mit vorbereiteten gesicherten Geräten ins VPN.

Was du aktuell machst , ist mit das dümmste was man machen kann um den Zugriff von außen zu lösen.

Gruss
Bitte warten ..
Mitglied: Vision2015
12.11.2019, aktualisiert um 16:21 Uhr
moin...
Zitat von aif-get:

Hallo,

wir haben in unserem Unternehmen Personen , welche über ein Port Forwarding zugriff auf ihre Rechner im Büro von zu hause aus haben.
das gehört bestraft....

Der Port ist nach aussen hin 5 stellig und mapped auf den RDP Port des Bürorechners, also es wird normales source NAT betrieben.
egal... cat9 raus, und bluten....... sowas wir über ein VPN gemacht!

Sobald sich die Person dann per RDP eingeloggt hat, wird sie plötzlich im Active Directory gesperrt, weil 3 mal falsches Passwort. Dies passiert allerdings erst nach einer gewissen Zeit.
ja... da wird wohl "jemand" zugriff wollen.... wozu war noch gleich das VPN ?

Nachdem ich dann die Accounts wieder entsperre gehts von vorne los.
mach das nicht...

Die Passwörter werden auf jedenfalls immer richtig eingegeben. Daher die frage: Welche instanz ist denn da im hintergrund? Es ist einmal ein Windows 10 und einemal ein Windows 7 PC also nicht vom BS abhängig.
das ist egal...

Ist euch da etwas bekannt, dass solche Bugs auftreten? Bzw könnt mir hier weiterhelfen um dem Rätsel auf die sprünge zu kommen.
der Bug liegt beim Design.... mit VPN passiert sowas nicht

danke schonmal
gerne....
Frank
Bitte warten ..
Mitglied: aif-get
13.11.2019 um 08:56 Uhr
Danke, für die Kommentare schonmal

Aber wir lösen vieles schön mit VPN. Ob dies wirklich sinnig ist per RDP zu lösen und Löcher in die FW zu bohren sei erstmal dahingestellt...

Mich würde jetzt aber erstmal interessieren, weshlab ausgerechnet bei dem aktiven Aufbau der RDP-Session dieses Problem erst auftritt?
Logisch ist das nicht.

User baut auf RDP Port 63564, kurz dannach User im AD gesperrt.
Sonst keinerlei Problem.

Man könnte annehmen dass dort irgendeine Malware steckt , aber dies passiert bei einem anderen Rechner ebenfalls, der frisch aufgesetzt wurde.

Ist dies eher einen Designproblem von Windows beim RDP Handshake?
Bitte warten ..
Mitglied: itisnapanto
13.11.2019 um 09:09 Uhr
Ihr nutzt also schon VPN und hängt das RDP Protokoll dennoch frei ins Netz ? Na dann ...
Bitte warten ..
Mitglied: Vision2015
13.11.2019 um 09:12 Uhr
Zitat von itisnapanto:

Ihr nutzt also schon VPN und hängt das RDP Protokoll dennoch frei ins Netz ? Na dann ...

habe ich mir auch so gedacht....

Frank
Bitte warten ..
Mitglied: Hubert.N
13.11.2019 um 09:49 Uhr
Moin

Wenn Du dich fragst, weshalb das Konto gesperrt ist, habe ich oben schon auf die Protokolle hingewiesen. Und auf die Möglichkeit, das auch über eine GUI zu betrachten: https://www.netwrix.com/account_lockout_examiner.html

Ansonsten: Mache das Design vernünftig und schaue, ob dann noch komische Dinge passieren.

Hubert
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
13.11.2019 um 17:42 Uhr
als allererstes richtet man ein zentrales Audit für Logins in der Domäne an den DCs ein, sonst findet man das nie ... aber wer das nicht hat findet den Grund für die Sperrung garantiert im Sicherheits-Reiter unterhalb der Windows Protokolle im Ereignisprotokoll der einzelnen Rechner, auf denen sich die Leute einloggen wollten.

Wir hatten das z.B. mal daß ein zu komplexes Paßwort zu NTLM Negotiation-fehlern führte, was der Rechner als fehlgeschlagenen Loginversuch interpretiert hat. Und nach 10 Versuchen war das Konto gesperrt, bzw. beim aif-get ist der lockout counter per GPO auf 3 eingestellt (ohne GPO ist das 10)
Bitte warten ..
Mitglied: aif-get
09.12.2019 um 14:54 Uhr
Hallo, danke für die hinweise. Das grunddesign wird demnächst geändert. aber trotzdem will man ja solche fehler finden ;)

1. Das Eventlogger tool werde ich demnäöchst mal ausoprobieren und berichten.

2. NTLM Negotiation-fehler dachte ich zuerst auch, aber das einloggen hat funktioniert. Lediglich das es später probleme hab lässt drauf hinschliessen dass da nichts mit zu komplex hin deutet.

3. Wir haben noch einen zweiten DC der sich aber richtig mit dem dem anderen synchronisiert.

4. Ist hier eine analyse mit wireshark möglich? Wenn ja welche Filterregeln und Protokolle könenn am logischsten verwendet werden?
Bitte warten ..
Ähnliche Inhalte
Windows Server

(Active Directory) Konto vom Benutzer wird sofort wieder gesperrt

gelöst Frage von SachellenWindows Server9 Kommentare

Windows Server 2008 R2 Hallo liebe Kolleginnen und Kollegen, ich eine ein großes Problem auf meinen Servern. Ein normaler ...

Windows Userverwaltung

Active Directory: Basisordner automatisch füllen lassen?

gelöst Frage von Rene12345Windows Userverwaltung5 Kommentare

Guten Tag, ich empfinde es als ein wenig umständlich den Basisordner in den Eigenschaften eines Benutzers im Active Directory ...

Windows Server

Kennwortrichtlinie gesperrt

gelöst Frage von LinuxguruWindows Server19 Kommentare

Hallo! Ich habe auf meinem Windows Server 2008 R2 das Problem, dass ich die Kennwortrichtlinie in der gpedit.msc nicht ...

Windows Server

RDP bei Inaktivität oder getrennt automatisch abmelden

Frage von survial555Windows Server5 Kommentare

Hallo zusammen, ich habe einen Server 2012 als TS augesetzt. Die Benutzer klicken das RDP Fenster jedoch meist mit ...

Neue Wissensbeiträge
Linux Tools
Dolibarr ERP CRM - Update Prozess
Anleitung von radiogugu vor 20 StundenLinux Tools

Hallo. Dies soll den kurzen Update Prozess der Software schildern. Zugrunde liegt eine Ubuntu Linux VM an der Stelle. ...

Linux Tools
Dolibarr ERP CRM - Überblick der Software
Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo. Nach der Anleitung zur Einrichtung und Installation der Datenbank und des Webserver Dolibarr ERP CRM Installation möchte ich ...

Linux Tools

Dolibarr ERP CRM Installation der Datenbank und des Webserver

Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo zusammen. Ich bin seit kurzem nebenberuflich selbstständig und suchte eine geeignete Software für die Auftragsverwaltung, CRM und ein ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 1 TagSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke24 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Server-Hardware
Server startet nach Debian Installation nicht mehr
Frage von RobertDServer-Hardware17 Kommentare

Hallo, ich habe heute zum ersten Mal auf meinen Server (selbst zusammengebaut) Linux installiert, ging auch alles ganz gut. ...

Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...