einlayer8problem
Goto Top

Windows Server 2016 Security Alert

Sehr geehrte Damen und Herren,

an dieser Stelle möchte ich mich mit meinem Problem an das Forum wenden. Seid heute werde ich mit einer Security Alert Meldung in Windows Server 2016 belästigt, die im Minuten takt immer wieder aufploppt. Scheinbar geht es wohl um ein Zertifikat irgendeiner Verbindung, die ich aktiv nicht eingeleitet habe.

Bislang habe ich es noch mit keiner Security Alert Meldung zutun gehabt, weshalb ich mir nicht ganz sicher bin wie ich die Anfrage blockieren kann, sodass der Request ein für alle mal verschwindet.

Anbei 2 Screenshots, die die Meldung näher beschreiben.

sa3
sa1
sa2
sa4

Ich nutze Glasswire auf dem System. Jede Verbindung muss normalerweise erfragen, ob ich erlaube oder ablehne. GGf. kann ich den Prozess auch so blocken.

Vielen Dank an das Forum!

Content-ID: 7763581303

Url: https://administrator.de/forum/windows-server-2016-security-alert-7763581303.html

Ausgedruckt am: 02.04.2025 um 15:04 Uhr

Dani
Dani 06.07.2023 um 19:57:35 Uhr
Goto Top
Moin,
... und was ist jetzt deine Frage an uns?


Gruß,
Dani
beidermachtvongreyscull
beidermachtvongreyscull 06.07.2023 um 21:04:15 Uhr
Goto Top
Nutzt Du denn die Plattform https://inmoment.com/?
Es handelt sich anscheinend um eine "Customer Experience" Solution, die ihren Chefserver hin und wieder versucht zu erreichen.
EinLayer8Problem
EinLayer8Problem 07.07.2023 um 11:07:32 Uhr
Goto Top
Im Prinzip möchte ich die Meldung nur verschwinden lassen und herausfinden, wieso ich Sie überhaupt erhalte face-smile
EinLayer8Problem
EinLayer8Problem 07.07.2023 um 11:08:22 Uhr
Goto Top
Tatsächlich nicht. Ich habe die Plattform auch gleich gegoogelt und die sagt mir wirklich garnichts. Hatte Sie weder mal geöffnet noch sonst irgendwie damit interagiert.
LordGurke
LordGurke 07.07.2023 aktualisiert um 11:24:22 Uhr
Goto Top
Das Zertifikat mit dem Namen wird zwar ausgeliefert, passt aber laut Fehlermeldung nicht zum Namen, den man erwartet hat. Es könnte also auch eine Software sein, die zu einem Server mit einem völlig anderen Namen verbindet, jetzt aber an der falschen Stelle landet. Der Updater einer Software, wo der Anbieter einen DNS-Record falsch gesetzt hat oder so.
Am einfachsten wird es wohl sein (ggf. mit Wireshark) alle DNS-Anfragen mitzusniffen und dann zu sehen, wo zeitlich passend dieses Fenster aufgeht. Dann hat man über den DNS-Namen vielleicht einen Anhaltspunkt, welche Software das ist.
Oder, wenn der DNS-Cache im Weg ist, in den Client-Hello der TLS-Verbindung schauen und dort den SNI suchen, den der Client mitgeschickt hat — das ist der vom Client erwartete Hostname.
Lochkartenstanzer
Lochkartenstanzer 07.07.2023 um 11:42:47 Uhr
Goto Top
Zitat von @EinLayer8Problem:

Im Prinzip möchte ich die Meldung nur verschwinden lassen und herausfinden, wieso ich Sie überhaupt erhalte face-smile

Verschwinden lassen ist einfach. Sag Windows, daß es das Zeritifikat in seinen Zertifikatsspeicher aufnehmen und immer akzeptieren soll. Aber sei Dir bewußt, daß Du damit ggf einen MITM erlaubst.

lks
EinLayer8Problem
EinLayer8Problem 07.07.2023 um 11:52:07 Uhr
Goto Top
Genau das ist ja meine Vermutung, weshalb ich auch hier nachfragen wollte face-smile
Dani
Dani 07.07.2023 um 18:21:26 Uhr
Goto Top
Moin,
Seid heute werde ich mit einer Security Alert Meldung in Windows Server 2016 belästigt, die im Minuten takt immer wieder aufploppt.
hast du mal ein neues Benutzerkonto angelegt und geschaut, ob die Meldung erneut angezeigt wird. Damit kannst du eingrenzen, ob es durch den Benutzer (nicht) verursacht wird.

Parallel dazu einfach mal mit Wireshark und ProcessMonitor schauen, was da sich zum Zeitpunkt der Meldung so tummelt. Somit solltest du der Sache auf die Spur kommen.


Gruß,
Dani
EinLayer8Problem
EinLayer8Problem 08.07.2023 um 19:25:57 Uhr
Goto Top
Hallo meine lieben face-smile

An dieser Stelle mal ein Update. Windows Server update gefahren und restartet, seitdem kommt nichts mehr. Warum oder wieso, wirklich keine Ahnung.
beidermachtvongreyscull
beidermachtvongreyscull 08.07.2023 um 21:31:15 Uhr
Goto Top
Zitat von @EinLayer8Problem:

Hallo meine lieben face-smile

An dieser Stelle mal ein Update. Windows Server update gefahren und restartet, seitdem kommt nichts mehr. Warum oder wieso, wirklich keine Ahnung.

Vielleicht, weil der Gute beim Windows-Update auch seine Stammzertifikate updatet. face-smile