Zum Inhalt wechseln


Foto

Gesperrte Benutzer Konten


  • Bitte melde dich an um zu Antworten
20 Antworten in diesem Thema

#1 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 19. März 2010 - 18:02

Hallo!

Derzeit werden täglich Benutzerkonten bei uns gesperrt, wir vermuten, dass jemand über unseren OWA Passwörter testet.

Wie oder Wo kann ich einen Eintrag finden, bezüglich fehlgeschlagener OWA Logins bzw noch besser, den Grund warum das Konto gesperrt wurde.

Auf dem OWA Frontend Server habe ich nichts gefunden, auf den Domaincontrollern auch nicht.

Gibt es eine GPO die ich aktivieren muss?

Wenn jemand über OWA Passwörter testet, hätte ich gerne seine IP Adresse, welche Tipps habt ihr für mich?

Danke!!!

#2 chirho

chirho

    Member

  • 273 Beiträge

 

Geschrieben 19. März 2010 - 18:12

Hallo.

Was sagen denn die IIS-Logs?
Gruß

ChiRho

#3 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 19. März 2010 - 19:26

Hi,

OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt.

Du mußt auf Deinen DCs gegenprüfen, von welchem Client die Sperrung ausging. Am besten Du fängst auf dem PDCe an, von dort bekommst Du den Hinweis, auf welchem DC die Sperrung stattgefunden hat (ggf. auch auf ihm selbst) und von dort bekommst Du den Client.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#4 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 19. März 2010 - 20:52

ganz praktisch ist dazu für die Suche das Tool "lockoutstatus"

cu
blub

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#5 carlito

carlito

    Board Veteran

  • 3.074 Beiträge

 

Geschrieben 20. März 2010 - 07:59

Download: http://www.microsoft...&displaylang=en bzw. Einzeldownload: http://www.microsoft...&displaylang=en

Beschreibung: "Determines all the domain controllers that are involved in a lockout of a user in order to assist in gathering the logs. LockoutStatus.exe uses the NLParse.exe tool to parse Netlogon logs for specific Netlogon return status codes. It directs the output to a comma-separated value (.csv) file that you can sort further, if needed."
Microsoft Press Buch zu 70-229, S. 15:
"Sie können eine Dateninstanz beschreiben, dann diese Beschreibung beschreiben und mit der Beschreibung nachfolgender Beschreibungen fortfahren,..."

#6 Daim

Daim

    Expert Member

  • 4.542 Beiträge

 

Geschrieben 20. März 2010 - 13:49

Servus,

das könnte auch der Conf***er Virus sein.
Gehe dem auch einmal nach.
Viele Grüße aus Mainz
Yusuf Dikmenoglu
LDAP://Yusufs.Directory.Blog/
Twitter: YusufsDSBlog

#7 s_sonnen

s_sonnen

    Board Veteran

  • 751 Beiträge

 

Geschrieben 20. März 2010 - 14:41

Ich kann Daim nur unterstützen, das wär' das Erste was ich testen würde. Deine Beschreibung paßt, leider, ziemlich typisch auf den Virus.

Viel Glück, ... und hoffentlich liegen wir falsch.
M.
Ein Buch macht kluch - zwei Bücher schon mal klücher.

#8 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 20. März 2010 - 14:47

Hi,

na ja, wenn es die Dimension vom Conf***er hätte, wären wahrscheinlich mehr / alle Accounts betroffen. Aber klar, einen Blick in die Richtung ist sicher nicht verkehrt.

Nebenbei die Frage: Nach wie vielen ungültigen Anmeldeversuchen werden die Accounts in der Umgebung gesperrt, d.h. was ist von Euch konfiguriert worden? Wenn es nur 3 oder 5 ungültige Anmeldeversuche sind, brauchen wir hier gar nicht großartig herum zu suchen. Dann solltest Du erst einmal mindestens 10 Anmeldeversuche einstellen und prüfen, ob das Problem dann immer noch auftritt.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#9 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 23. März 2010 - 14:50

OK, ich habe getestet, ob OWA Accounts sperrt und dem ist so.

In den Events am DC (alle FSMO Rollen als Master) kommt das Event mit der ID 4740 wenn ein User gesperrt wird. Als Melder wird immer der Frontend Server von OWA angegeben. Ich werde jetzt noch die IIS Logs auf Zugriffe prüfen, die während der Kontensperrung statt fanden.

Wir hatten früher 7 falsche PW Eingaben erlaubt. Der Counter wurde nach 120 Minuten resetet. Jetzt haben wir es auf 3 herunter gesetzt.

Früher gab es solche Sperrungen nur einmal im Jahr. Jetzt im zwei Tagesabstand.

Danke für die vielen und auch sinnvollen Antworten!!!

#10 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 23. März 2010 - 15:05

Con****er ist es glaub ich nicht!

USB, CDRom, Bluetooth, Infrarot, SD-Karten sind bei uns gesperrt. User bekommen nichts in den PC hinein.

Per SMTP und HTTP(S) kommen auch keine ZIP, Exe, MSI und sonst etwas in unser Netz. Firewall läßt FTP, HTTP+S und SMTP durch, sonst nichts.

Laut Wikipedia kommen die gesperrten Konten beim con****er durch bruteforcen von geschützten Shares, welche bei uns aber nur im LAN erreichbar wären, nicht über die Firewall aus dem Internet. Jeder Rechner ist mit einem KAV Client ausgestattet + aktiver Desktop FW.

Kaspersky kennt Con****er, imho, schon lange.

#11 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 23. März 2010 - 16:36

Hi,

wie gesagt, eine Webanmeldung über OWA (Webinterface) dürfte meines Wissens das Problem nicht verursachen. Anders sieht es aus, wenn mittels NTLM die Authentifizierung stattfindet - wie genau greifen die Bneutzer auf OWA zu bzw. wie werden sie authentifiziert?

Poste einmal die konkreten Lockout Events (alle für einen Lockout), dort steht der Authentication Type mit drin.

7 ungültige Anmeldeversuche sind meines Erachtens zu niedrig. Ich würde es mit mindestens 10 - 20 Versuchen noch einmal probieren.
Schau außerdem einmal auf den IIS Teil des folgenden Technet Artikels: Troubleshooting Account Lockout --> vielleicht spielt der IIS Token Cache hier auch eine Rolle.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#12 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 24. März 2010 - 09:29

Definitiv sperrt OWA bei uns (Ex2003 alle Updates auf WinSrv2003R2 alle Updates) die Konten, ich habe es jetzt ein paar mal getestet und auch die erzeugten Events beobachtet! Auch der Counter für Fehleingaben im Programm "lockoutstatus" wird hochgezählt.

Ich habe einen Testuser angelegt namens btm, das ist die Eventmeldung die erscheint, wenn der User druch fehlerhafte OWA Anmeldungen gesperrt wird:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 24.03.2010 09:35:18
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: SRV-DC01.***.local
Description:
A user account was locked out.

Subject:
Security ID: SYSTEM
Account Name: SRV-DC01$
Account Domain: ***
Logon ID: 0x3e7

Account That Was Locked Out:
Security ID: ***\btm
Account Name: btm

Additional Information:
Caller Computer Name: SRV-PROXY
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4740</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2010-03-24T08:35:18.176500000Z" />
<EventRecordID>606739</EventRecordID>
<Correlation />
<Execution ProcessID="516" ThreadID="1796" />
<Channel>Security</Channel>
<Computer>SRV-DC01.***.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">btm</Data>
<Data Name="TargetDomainName">SRV-PROXY</Data>
<Data Name="TargetSid">S-1-5-21-1123561945-1343024091-854245398-3300</Data>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SRV-DC01$</Data>
<Data Name="SubjectDomainName">***</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
</EventData>
</Event>


SRV-PROXY ist der OWA Frontend Server.

Die IIS Logs zeigen dann die IP, mir ist nur jetzt erst aufgefallen, dass die Zeit in den IIS Logs um eine Stunde zurückgeht. Weltzeit.

Danke für eure Unterstützung!

#13 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 24. März 2010 - 17:27

Hi,

Du hast meine Fragen oben nicht beantwortet und nur ein Event angegeben, nicht alle relevanten.

Es gibt wie angesprochen unterschiedliche Methoden, sich zu authentifizieren. Je nach Anmeldemethode sperrt ein DC ein Benutzerkonto oder eben nicht. Ich beziehe mich auf die normale OWA Webseitenauthentifizierung.
Wie genau melden sich die Benutzer also an? Wie genau lauten die relevanten Events / Event-Texte? Das eine Event hilft hier nicht weiter.

Und ebenfalls noch einmal der Hinweis, daß 7 ungültige Anmeldeversuche bis zu einer Sperrung meines Erachtens zu wenig sind.

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#14 OliverZ

OliverZ

    Newbie

  • 42 Beiträge

 

Geschrieben 30. März 2010 - 15:18

Hallo!

Das Problem, ich finde nicht viel mehr, am DC finde ich nichts passendes dazu, der OWA Frontend Server (Caller Computer des Events) hat zwei Events zum Zeitpunkt des Locks.

Ich habe selber einen Lockout ausgelöst:
Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	540
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
 	Benutzername:	
 	Domäne:		
 	Anmeldekennung:		(0x0,0x423DD610)
 	Anmeldetyp:	3
 	Anmeldevorgang:	NtLmSsp 
 	Authentifizierungspaket:	NTLM
 	Arbeitsstationsname:	SRV-DC01
 	Anmelde-GUID:	-
 	Aufruferbenutzername:	-
 	Aufruferdomäne:	-
 	Aufruferanmeldekennung:	-
 	Aufruferprozesskennung: -
 	Übertragene Dienste: -
 	Quellnetzwerkadresse:	-
 	Quellport:	-


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url=http://go.microsoft.com/fwlink/events.asp]Events and Errors Message Center: Basic Search[/url].

Ereignistyp:	Erfolgsüberw.
Ereignisquelle:	Security
Ereigniskategorie:	An-/Abmeldung 
Ereigniskennung:	538
Datum:		30.03.2010
Zeit:		16:35:42
Benutzer:		NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	SRV_PROXY
Beschreibung:
Benutzerabmeldung:
 	Benutzername:	ANONYMOUS-ANMELDUNG
 	Domäne:		NT-AUTORITÄT
 	Anmeldekennung:		(0x0,0x423DD610)
 	Anmeldetyp:	3


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Die anderen Events haben sind zwei Minuten davor oder danach geloggt worden.

#15 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 30. März 2010 - 16:54

Hi,

ok, obwohl Du wieder nicht konkret beantwortet hast, was ich gefragt habe, kann man anhand der Events nun zumindest sehen, daß es sich um ein Network Logon über NTLM handelt.

Noch einmal die Frage ob Du das Webinterface von OWA nutzt oder Dich etwa per Popup authentifizierst. Ich vermute letzteres.

Wie oft treten die Logon Versuche bei einem konkret betroffenen Benutzer auf, zu welcher Tageszeit und wie viele Logon Versuche werden (nach der Sperrung) unternommen?

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)