1
Windows 2016 DC - komische "Audit Failure" Meldungen
Hi,
auf unserer DC's werden im Sicherheits-Log viele Meldungen mit "Überwachung fehlgeschlagen" (Audit Failure) aufgezeichnet, aus welchen ich mir nicht wirklich einen Reim machen kann.
Diverse Computerkonten (nicht alle, verschiedene Domänen) versuchen, auf AD-Gruppen schreibend zuzugreifen, ohne dass ich mir das erklären kann. Dabei handelt es sich aber nur um "ungefährliche" Gruppen, also keine Admin-Gruppen o.ä.
Die Meldungen sind alle nach folgendem Schema:
Oder auch Zugriff auf ein "ungefährliches" Benutzerkonto, ebenfalls mit "Zugriffsmaske: 0x100" und
Dabei bedeuten die Codes
0x100 --> WriteAttributes
3cfc3a62-78df-4259-805f-9552d199f897 = (eines unserer eigenen Attribute)
612cb747-c0e8-4f92-9221-fdd5f15b550d = unixUserPassword
6617e4ac-a2f1-43ab-b60c-11fbd1facf05 = msPKIRoamingTimeStamp
771727b1-31b8-4cdf-ae62-4fe39fadf89e = Default Property Set
91e647de-d96f-4b70-9557-d63ff4f3ccd8 = Private Information
b3f93023-9239-4f7c-b99c-6745d87adbc2 = msPKIDPAPIMasterKeys
b7ff5a38-0818-42b0-8110-d3d154c97f24 = msPKI-CredentialRoamingTokens
b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7 = msPKIAccountCredentials
bf9679c0-0de6-11d0-a285-00aa003049e2 = member
bf967aba-0de6-11d0-a285-00aa003049e2 = user
Es scheinen bloß Win7- und Win2008R2-Computer zu sein.
Ich suche mir jetzt schon ne Weile die Finger wund, finde aber nicht mal einen Ansatz im Web.
E.
auf unserer DC's werden im Sicherheits-Log viele Meldungen mit "Überwachung fehlgeschlagen" (Audit Failure) aufgezeichnet, aus welchen ich mir nicht wirklich einen Reim machen kann.
Diverse Computerkonten (nicht alle, verschiedene Domänen) versuchen, auf AD-Gruppen schreibend zuzugreifen, ohne dass ich mir das erklären kann. Dabei handelt es sich aber nur um "ungefährliche" Gruppen, also keine Admin-Gruppen o.ä.
Die Meldungen sind alle nach folgendem Schema:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Eventlog "Sicherheit"
EventID 4662
Für ein Objekt wurde ein Vorgang ausgeführt.
Antragsteller:
Sicherheits-ID: DOM1\XXX-nnnn$
Kontoname: XXX-nnnn$
Kontodomäne: DOM1
Anmelde-ID: 0x478B0C96
Objekt:
Objektserver: DS
Objekttyp: group
Objektname: CN=Gruppe123,OU=OU_ABC,DC=DOM1,DC=tld
Handle-ID: 0x0
Vorgang:
Vorgangstyp: Object Access
Zugriffe: Zugriff steuern
Zugriffsmaske: 0x100
Zeigt die Eigenschaften an.: ---
{771727b1-31b8-4cdf-ae62-4fe39fadf89e}
{612cb747-c0e8-4f92-9221-fdd5f15b550d}
{bf967a9c-0de6-11d0-a285-00aa003049e2}
Zusätzliche Informationen:
Parameter 1: -
Parameter 2:Oder auch Zugriff auf ein "ungefährliches" Benutzerkonto, ebenfalls mit "Zugriffsmaske: 0x100" und
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
Zeigt die Eigenschaften an.: ---
{bf967aba-0de6-11d0-a285-00aa003049e2}
{91e647de-d96f-4b70-9557-d63ff4f3ccd8}
{6617e4ac-a2f1-43ab-b60c-11fbd1facf05}
{b3f93023-9239-4f7c-b99c-6745d87adbc2}
{b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7}
{b7ff5a38-0818-42b0-8110-d3d154c97f24}
{771727b1-31b8-4cdf-ae62-4fe39fadf89e}
{3cfc3a62-78df-4259-805f-9552d199f897}
{612cb747-c0e8-4f92-9221-fdd5f15b550d}Dabei bedeuten die Codes
0x100 --> WriteAttributes
3cfc3a62-78df-4259-805f-9552d199f897 = (eines unserer eigenen Attribute)
612cb747-c0e8-4f92-9221-fdd5f15b550d = unixUserPassword
6617e4ac-a2f1-43ab-b60c-11fbd1facf05 = msPKIRoamingTimeStamp
771727b1-31b8-4cdf-ae62-4fe39fadf89e = Default Property Set
91e647de-d96f-4b70-9557-d63ff4f3ccd8 = Private Information
b3f93023-9239-4f7c-b99c-6745d87adbc2 = msPKIDPAPIMasterKeys
b7ff5a38-0818-42b0-8110-d3d154c97f24 = msPKI-CredentialRoamingTokens
b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7 = msPKIAccountCredentials
bf9679c0-0de6-11d0-a285-00aa003049e2 = member
bf967aba-0de6-11d0-a285-00aa003049e2 = user
Es scheinen bloß Win7- und Win2008R2-Computer zu sein.
Ich suche mir jetzt schon ne Weile die Finger wund, finde aber nicht mal einen Ansatz im Web.
E.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 502210
Url: https://administrator.de/forum/windows-2016-dc-komische-audit-failure-meldungen-502210.html
Ausgedruckt am: 14.04.2025 um 09:04 Uhr
1 Kommentar
Mal die Aufgabenplanungen der angegebenen PCs auf custom tasks überprüft die als SYSTEM laufen?
Wenn da ein Attribut geschrieben wird das nur bei euch existiert dann müsste es doch eigentlich eine eurer Anwendungen/Skripte sein?!
Dem Großteil der Attribute zu Urteilen, irgendwas im Zusammenhang mit Zertifikaten.
Wenn da ein Attribut geschrieben wird das nur bei euch existiert dann müsste es doch eigentlich eine eurer Anwendungen/Skripte sein?!
Dem Großteil der Attribute zu Urteilen, irgendwas im Zusammenhang mit Zertifikaten.
