4
Sicherheitsprotokoll - Wer ist da?
Hallo...
ich habe heute haufenweise Einträge im Sicherheitsprotokoll gesehen.
Ein Angriff durch die FW dürfte nicht ganz so einfach sein!
Kann mir jemand sagen was diese Nachricht konkret heißt?
Bin noch nicht so ganz vertraut mit der MS_Sprache.
Über welchen Weg gabs hier nen "Angriff"?
Vielen Dank!
ich habe heute haufenweise Einträge im Sicherheitsprotokoll gesehen.
Ein Angriff durch die FW dürfte nicht ganz so einfach sein!
Kann mir jemand sagen was diese Nachricht konkret heißt?
Bin noch nicht so ganz vertraut mit der MS_Sprache.
Über welchen Weg gabs hier nen "Angriff"?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86155
Url: https://administrator.de/contentid/86155
Printed on: April 16, 2024 at 22:04 o'clock
4 Comments
Latest comment
die nachricht heisst im klartext:
ein user, der sich als "newuser" ausgibt hat von einem PC namens
"SERVER" versucht sich an deinem Rechner einzuloggen.
ob angriff oder nicht, dass liegt in deinem ermessen.
EDIT:
ping ihn mal an und guck mal welche IP adresse rauskommt.
RICHTIGSTELLUNG:
ich hatte den text vor meinem ersten kaffe verfasst. böser fehler.
also hier noch einmal richtig:
Jemand versucht sich über netzwerk (Anmeldetyp 3) sich auf den PC namens
"SERVER" mit dem accountnamen "newuser" anzumelden.
hth
ein user, der sich als "newuser" ausgibt hat von einem PC namens
"SERVER" versucht sich an deinem Rechner einzuloggen.
ob angriff oder nicht, dass liegt in deinem ermessen.
EDIT:
ping ihn mal an und guck mal welche IP adresse rauskommt.
RICHTIGSTELLUNG:
ich hatte den text vor meinem ersten kaffe verfasst. böser fehler.
also hier noch einmal richtig:
Jemand versucht sich über netzwerk (Anmeldetyp 3) sich auf den PC namens
"SERVER" mit dem accountnamen "newuser" anzumelden.
hth
Moin...
erstmal vielen Dank!
Ok, das war auch mein Gedanke. Der Anmeldename variiert so knapp 200 x mit genau 5 Sekunden Pause zwischen den Anmeldeversuchen. Also sicher irgendein Tool.
Neu ist allerdings der Anmeldevorgang, was bedeutet "Advapi"?
Bei einem anderen Server wird immer die Quellnetzadresse angezeigt, da kann ich schnell sehen welcher Rechner im Intranet ein "Problem" hat. Warum ist das Feld hier frei?
Über welchen Dienst läuft der Anmeldeversuch? Kennt sich da jemand aus?
Von außen durch die FW ist nur der SMTP frei.
Danke...
erstmal vielen Dank!
Ok, das war auch mein Gedanke. Der Anmeldename variiert so knapp 200 x mit genau 5 Sekunden Pause zwischen den Anmeldeversuchen. Also sicher irgendein Tool.
Neu ist allerdings der Anmeldevorgang, was bedeutet "Advapi"?
Bei einem anderen Server wird immer die Quellnetzadresse angezeigt, da kann ich schnell sehen welcher Rechner im Intranet ein "Problem" hat. Warum ist das Feld hier frei?
Über welchen Dienst läuft der Anmeldeversuch? Kennt sich da jemand aus?
Von außen durch die FW ist nur der SMTP frei.
Danke...
ist deine FW evt. untergraben?
informationen über "advapi":
http://www.motobit.com/HELP/SCPTUTL/cl51.htm
und hier noch mal microsoft zum thema (sehr lesenswert):
http://support.microsoft.com/kb/174073/de
bis du dein problem gelöst hast,
würde ich allen "kritischen" usern (dh. administratoren)
alle 24h einen passwortwechsel aufzwingen.
informationen über "advapi":
http://www.motobit.com/HELP/SCPTUTL/cl51.htm
und hier noch mal microsoft zum thema (sehr lesenswert):
http://support.microsoft.com/kb/174073/de
bis du dein problem gelöst hast,
würde ich allen "kritischen" usern (dh. administratoren)
alle 24h einen passwortwechsel aufzwingen.
Moin...
vielen Dank für den Hinweis auf die beiden Artikel!
Leider habe ich noch nicht so ganz verstanden was
"advapi"
API-Aufruf an LogonUser
bedeutet. Was kann ich mir darunter vorstellen? Das scheint ja kein direkter Anmeldeversuch am Server zu sein, oder?
Die FW ist dicht... entweder hat jemand im Intranet ein Tool gestartet - was ich mir allerdings nicht vorstellen kann, oder als letzte Möglichkeit wäre ein Problem bei den externen (Homeoffice) Arbeitsplätzen, die sich per VPN einwählen können, möglich.
vielen Dank für den Hinweis auf die beiden Artikel!
Leider habe ich noch nicht so ganz verstanden was
"advapi"
API-Aufruf an LogonUser
bedeutet. Was kann ich mir darunter vorstellen? Das scheint ja kein direkter Anmeldeversuch am Server zu sein, oder?
Die FW ist dicht... entweder hat jemand im Intranet ein Tool gestartet - was ich mir allerdings nicht vorstellen kann, oder als letzte Möglichkeit wäre ein Problem bei den externen (Homeoffice) Arbeitsplätzen, die sich per VPN einwählen können, möglich.
