1
Windows 2016 DC - komische "Audit Failure" Meldungen
Hi,
auf unserer DC's werden im Sicherheits-Log viele Meldungen mit "Überwachung fehlgeschlagen" (Audit Failure) aufgezeichnet, aus welchen ich mir nicht wirklich einen Reim machen kann.
Diverse Computerkonten (nicht alle, verschiedene Domänen) versuchen, auf AD-Gruppen schreibend zuzugreifen, ohne dass ich mir das erklären kann. Dabei handelt es sich aber nur um "ungefährliche" Gruppen, also keine Admin-Gruppen o.ä.
Die Meldungen sind alle nach folgendem Schema:
Oder auch Zugriff auf ein "ungefährliches" Benutzerkonto, ebenfalls mit "Zugriffsmaske: 0x100" und
Dabei bedeuten die Codes
0x100 --> WriteAttributes
3cfc3a62-78df-4259-805f-9552d199f897 = (eines unserer eigenen Attribute)
612cb747-c0e8-4f92-9221-fdd5f15b550d = unixUserPassword
6617e4ac-a2f1-43ab-b60c-11fbd1facf05 = msPKIRoamingTimeStamp
771727b1-31b8-4cdf-ae62-4fe39fadf89e = Default Property Set
91e647de-d96f-4b70-9557-d63ff4f3ccd8 = Private Information
b3f93023-9239-4f7c-b99c-6745d87adbc2 = msPKIDPAPIMasterKeys
b7ff5a38-0818-42b0-8110-d3d154c97f24 = msPKI-CredentialRoamingTokens
b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7 = msPKIAccountCredentials
bf9679c0-0de6-11d0-a285-00aa003049e2 = member
bf967aba-0de6-11d0-a285-00aa003049e2 = user
Es scheinen bloß Win7- und Win2008R2-Computer zu sein.
Ich suche mir jetzt schon ne Weile die Finger wund, finde aber nicht mal einen Ansatz im Web.
E.
auf unserer DC's werden im Sicherheits-Log viele Meldungen mit "Überwachung fehlgeschlagen" (Audit Failure) aufgezeichnet, aus welchen ich mir nicht wirklich einen Reim machen kann.
Diverse Computerkonten (nicht alle, verschiedene Domänen) versuchen, auf AD-Gruppen schreibend zuzugreifen, ohne dass ich mir das erklären kann. Dabei handelt es sich aber nur um "ungefährliche" Gruppen, also keine Admin-Gruppen o.ä.
Die Meldungen sind alle nach folgendem Schema:
Eventlog "Sicherheit"
EventID 4662
Für ein Objekt wurde ein Vorgang ausgeführt.
Antragsteller:
Sicherheits-ID: DOM1\XXX-nnnn$
Kontoname: XXX-nnnn$
Kontodomäne: DOM1
Anmelde-ID: 0x478B0C96
Objekt:
Objektserver: DS
Objekttyp: group
Objektname: CN=Gruppe123,OU=OU_ABC,DC=DOM1,DC=tld
Handle-ID: 0x0
Vorgang:
Vorgangstyp: Object Access
Zugriffe: Zugriff steuern
Zugriffsmaske: 0x100
Zeigt die Eigenschaften an.: ---
{771727b1-31b8-4cdf-ae62-4fe39fadf89e}
{612cb747-c0e8-4f92-9221-fdd5f15b550d}
{bf967a9c-0de6-11d0-a285-00aa003049e2}
Zusätzliche Informationen:
Parameter 1: -
Parameter 2:Oder auch Zugriff auf ein "ungefährliches" Benutzerkonto, ebenfalls mit "Zugriffsmaske: 0x100" und
Zeigt die Eigenschaften an.: ---
{bf967aba-0de6-11d0-a285-00aa003049e2}
{91e647de-d96f-4b70-9557-d63ff4f3ccd8}
{6617e4ac-a2f1-43ab-b60c-11fbd1facf05}
{b3f93023-9239-4f7c-b99c-6745d87adbc2}
{b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7}
{b7ff5a38-0818-42b0-8110-d3d154c97f24}
{771727b1-31b8-4cdf-ae62-4fe39fadf89e}
{3cfc3a62-78df-4259-805f-9552d199f897}
{612cb747-c0e8-4f92-9221-fdd5f15b550d}Dabei bedeuten die Codes
0x100 --> WriteAttributes
3cfc3a62-78df-4259-805f-9552d199f897 = (eines unserer eigenen Attribute)
612cb747-c0e8-4f92-9221-fdd5f15b550d = unixUserPassword
6617e4ac-a2f1-43ab-b60c-11fbd1facf05 = msPKIRoamingTimeStamp
771727b1-31b8-4cdf-ae62-4fe39fadf89e = Default Property Set
91e647de-d96f-4b70-9557-d63ff4f3ccd8 = Private Information
b3f93023-9239-4f7c-b99c-6745d87adbc2 = msPKIDPAPIMasterKeys
b7ff5a38-0818-42b0-8110-d3d154c97f24 = msPKI-CredentialRoamingTokens
b8dfa744-31dc-4ef1-ac7c-84baf7ef9da7 = msPKIAccountCredentials
bf9679c0-0de6-11d0-a285-00aa003049e2 = member
bf967aba-0de6-11d0-a285-00aa003049e2 = user
Es scheinen bloß Win7- und Win2008R2-Computer zu sein.
Ich suche mir jetzt schon ne Weile die Finger wund, finde aber nicht mal einen Ansatz im Web.
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 502210
Url: https://administrator.de/contentid/502210
Printed on: April 25, 2024 at 04:04 o'clock
1 Comment
Mal die Aufgabenplanungen der angegebenen PCs auf custom tasks überprüft die als SYSTEM laufen?
Wenn da ein Attribut geschrieben wird das nur bei euch existiert dann müsste es doch eigentlich eine eurer Anwendungen/Skripte sein?!
Dem Großteil der Attribute zu Urteilen, irgendwas im Zusammenhang mit Zertifikaten.
Wenn da ein Attribut geschrieben wird das nur bei euch existiert dann müsste es doch eigentlich eine eurer Anwendungen/Skripte sein?!
Dem Großteil der Attribute zu Urteilen, irgendwas im Zusammenhang mit Zertifikaten.
