Windows Server 2016 Security Alert
Sehr geehrte Damen und Herren,
an dieser Stelle möchte ich mich mit meinem Problem an das Forum wenden. Seid heute werde ich mit einer Security Alert Meldung in Windows Server 2016 belästigt, die im Minuten takt immer wieder aufploppt. Scheinbar geht es wohl um ein Zertifikat irgendeiner Verbindung, die ich aktiv nicht eingeleitet habe.
Bislang habe ich es noch mit keiner Security Alert Meldung zutun gehabt, weshalb ich mir nicht ganz sicher bin wie ich die Anfrage blockieren kann, sodass der Request ein für alle mal verschwindet.
Anbei 2 Screenshots, die die Meldung näher beschreiben.
Ich nutze Glasswire auf dem System. Jede Verbindung muss normalerweise erfragen, ob ich erlaube oder ablehne. GGf. kann ich den Prozess auch so blocken.
Vielen Dank an das Forum!
an dieser Stelle möchte ich mich mit meinem Problem an das Forum wenden. Seid heute werde ich mit einer Security Alert Meldung in Windows Server 2016 belästigt, die im Minuten takt immer wieder aufploppt. Scheinbar geht es wohl um ein Zertifikat irgendeiner Verbindung, die ich aktiv nicht eingeleitet habe.
Bislang habe ich es noch mit keiner Security Alert Meldung zutun gehabt, weshalb ich mir nicht ganz sicher bin wie ich die Anfrage blockieren kann, sodass der Request ein für alle mal verschwindet.
Anbei 2 Screenshots, die die Meldung näher beschreiben.
Ich nutze Glasswire auf dem System. Jede Verbindung muss normalerweise erfragen, ob ich erlaube oder ablehne. GGf. kann ich den Prozess auch so blocken.
Vielen Dank an das Forum!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7763581303
Url: https://administrator.de/forum/windows-server-2016-security-alert-7763581303.html
Ausgedruckt am: 02.04.2025 um 15:04 Uhr
10 Kommentare
Neuester Kommentar
Nutzt Du denn die Plattform https://inmoment.com/?
Es handelt sich anscheinend um eine "Customer Experience" Solution, die ihren Chefserver hin und wieder versucht zu erreichen.
Es handelt sich anscheinend um eine "Customer Experience" Solution, die ihren Chefserver hin und wieder versucht zu erreichen.
Das Zertifikat mit dem Namen wird zwar ausgeliefert, passt aber laut Fehlermeldung nicht zum Namen, den man erwartet hat. Es könnte also auch eine Software sein, die zu einem Server mit einem völlig anderen Namen verbindet, jetzt aber an der falschen Stelle landet. Der Updater einer Software, wo der Anbieter einen DNS-Record falsch gesetzt hat oder so.
Am einfachsten wird es wohl sein (ggf. mit Wireshark) alle DNS-Anfragen mitzusniffen und dann zu sehen, wo zeitlich passend dieses Fenster aufgeht. Dann hat man über den DNS-Namen vielleicht einen Anhaltspunkt, welche Software das ist.
Oder, wenn der DNS-Cache im Weg ist, in den Client-Hello der TLS-Verbindung schauen und dort den SNI suchen, den der Client mitgeschickt hat — das ist der vom Client erwartete Hostname.
Am einfachsten wird es wohl sein (ggf. mit Wireshark) alle DNS-Anfragen mitzusniffen und dann zu sehen, wo zeitlich passend dieses Fenster aufgeht. Dann hat man über den DNS-Namen vielleicht einen Anhaltspunkt, welche Software das ist.
Oder, wenn der DNS-Cache im Weg ist, in den Client-Hello der TLS-Verbindung schauen und dort den SNI suchen, den der Client mitgeschickt hat — das ist der vom Client erwartete Hostname.
Zitat von @EinLayer8Problem:
Im Prinzip möchte ich die Meldung nur verschwinden lassen und herausfinden, wieso ich Sie überhaupt erhalte
Im Prinzip möchte ich die Meldung nur verschwinden lassen und herausfinden, wieso ich Sie überhaupt erhalte
Verschwinden lassen ist einfach. Sag Windows, daß es das Zeritifikat in seinen Zertifikatsspeicher aufnehmen und immer akzeptieren soll. Aber sei Dir bewußt, daß Du damit ggf einen MITM erlaubst.
lks
Moin,
Parallel dazu einfach mal mit Wireshark und ProcessMonitor schauen, was da sich zum Zeitpunkt der Meldung so tummelt. Somit solltest du der Sache auf die Spur kommen.
Gruß,
Dani
Seid heute werde ich mit einer Security Alert Meldung in Windows Server 2016 belästigt, die im Minuten takt immer wieder aufploppt.
hast du mal ein neues Benutzerkonto angelegt und geschaut, ob die Meldung erneut angezeigt wird. Damit kannst du eingrenzen, ob es durch den Benutzer (nicht) verursacht wird.Parallel dazu einfach mal mit Wireshark und ProcessMonitor schauen, was da sich zum Zeitpunkt der Meldung so tummelt. Somit solltest du der Sache auf die Spur kommen.
Gruß,
Dani
Zitat von @EinLayer8Problem:
Hallo meine lieben
An dieser Stelle mal ein Update. Windows Server update gefahren und restartet, seitdem kommt nichts mehr. Warum oder wieso, wirklich keine Ahnung.
Hallo meine lieben
An dieser Stelle mal ein Update. Windows Server update gefahren und restartet, seitdem kommt nichts mehr. Warum oder wieso, wirklich keine Ahnung.
Vielleicht, weil der Gute beim Windows-Update auch seine Stammzertifikate updatet.