Hallo!
ich habe bei einigen PCs in meiner Domäne das Problem, dass das Sicherheitsprotokoll innerhalb von 3 Tagen voll läuft.
Es stehen etliche Einträge dieser Art drin: (nur weiß ich nicht warum) :-(
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 28.05.2008
Zeit: 18:27:59
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: "PC-Name"
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0x33D9AD)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname: "Domänencontrollername"
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.
------------------
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 28.05.2008
Zeit: 18:27:59
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: PC-Name
Beschreibung:
Benutzerabmeldung:
Benutzername: ANONYMOUS-ANMELDUNG
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x33D994)
Anmeldetyp: 3
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.
Kann mir vlt jemand was dazu sagen?
Danke
Elendil
Sicherheitsprotokoll
Erstellt von
Elendil
, 30. Mai 2008 11:02
2 Antworten in diesem Thema
#2
MCSE_SF
-
-
- 112 Beiträge
Junior Member
Geschrieben 30. Mai 2008 - 15:02
Hallo,
an einem PC (Client) werden diese Ereignisse standardmäßig nicht überwacht bzw. im Sicherheitsprotokoll dargestellt. Wenn Du als Admin lokal, die MMC "Lokale Sicherheitsrichtlinien" einsiehst prüfe dort ob unter Computername\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien festgelegt sind. Wenn dort Richtlinien aktiviert worden sind wird das Sicherheitsprotokoll vollgespült mit solchen Meldungen, was in der Regel aber bewusst aktiviert worden sein muss. Eigentlich dann ein normales Verhalten und nicht bedenklich. Da Du Dich in einer Domäne befindest kann dieses Verhalten auch durch eine GPO verursacht worden sein, prüfe dann genauso auf dem DC ob dieser seinen Clients dieses Verhalten aufzwingt. Du kannst dort sowohl erfolgreiche als auch fehlgeschlagene Versuche überwachen bzw. überprüfen, so dass die Zurückverfolgung der Überwachungseinträge genauen Aufschluss darüber gibt, wer bestimmte Aktionen im Netzwerk durchgeführt hat und wer versucht hat, Aktionen durchzuführen, die nicht zulässig sind. Ich denke dass Du dort mal ansetzen solltest.
Gruß
MCSE_SF
an einem PC (Client) werden diese Ereignisse standardmäßig nicht überwacht bzw. im Sicherheitsprotokoll dargestellt. Wenn Du als Admin lokal, die MMC "Lokale Sicherheitsrichtlinien" einsiehst prüfe dort ob unter Computername\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien festgelegt sind. Wenn dort Richtlinien aktiviert worden sind wird das Sicherheitsprotokoll vollgespült mit solchen Meldungen, was in der Regel aber bewusst aktiviert worden sein muss. Eigentlich dann ein normales Verhalten und nicht bedenklich. Da Du Dich in einer Domäne befindest kann dieses Verhalten auch durch eine GPO verursacht worden sein, prüfe dann genauso auf dem DC ob dieser seinen Clients dieses Verhalten aufzwingt. Du kannst dort sowohl erfolgreiche als auch fehlgeschlagene Versuche überwachen bzw. überprüfen, so dass die Zurückverfolgung der Überwachungseinträge genauen Aufschluss darüber gibt, wer bestimmte Aktionen im Netzwerk durchgeführt hat und wer versucht hat, Aktionen durchzuführen, die nicht zulässig sind. Ich denke dass Du dort mal ansetzen solltest.
Gruß
MCSE_SF
Certified since 2000, MCSA/MCSE/MCITP EA/SP
