Zum Inhalt wechseln


Foto

Falsche Anmeldung Arbeitsstation finden


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 08:37

Hallo zusammen, 

 

ich habe irgendeinen Witzbold oder ein Programm im Netz was sich ständig mit unserem Administrator Konto anmeldet so dass dieser ständig gesperrt wird. Jetzt will ich rausfinden welche IP resp. Arbeitsstation das verursacht. 

 

Ich wusste mal wo das im Ereignisprotokoll steht finde es jetzt aber nicht mehr. Geht das nur noch über div. Policys und Skripte?

 

Danke & liebe Grüße

Manfred



#2 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 08. August 2017 - 08:45

Hallo und willkommen im Forum,

 

doch das wird protokolliert.

Auf allen DCs mal in das Security-Event-Log schauen. 

Ein möglicher Event ist 4771  "Kerberos pre-authentication failed". Dort steht auch die Client-Adress

Oder 4625 "An account failed to log on". Dort gibt es die "Source Network Address". Dort kann man dann wieder in den Eventlog schauen.

Natürlich muss die Protokollierung der Security Events in der Domäne richtig konfiguriert sein...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 Slavefighter

Slavefighter

    Junior Member

  • 85 Beiträge

 

Geschrieben 08. August 2017 - 08:47

Moin,

 

Kennwort schon geändert?

 

oder meintest du das?
Computerkonfiguration – Windows Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien –  Überwachungsrichtlinien – <Anmeldeereignisse überwachen>

 

LG

 

Slave



#4 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 11:54

Super! Danke. Hab nach den falschen EVENT-ID´s gesucht. 

Hab den "Basdard" gefunden. 

 

Danke!


Schade. Das war es doch nicht. Mir sperrt es das Benutzerkonto immer noch alle paar Minuten. Unter den o.g. Event bekomme ich jetzt keine aktuellen Ereignisse. 

 

Wo werden den einfach die Fehlanmeldungen Protokolliert? Unter \Windows-Protokolle\Sicherheit anscheinend nicht. 



#5 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 08. August 2017 - 11:59

Moin,

 

Anmeldeereignisse werden immer und nur auf dem DC protokolliert, der die Anmeldung bearbeitet. Habt ihr mehrere DCs, dann musst du die Logs auf allen durchsuchen.

 

Der typische Fall ist, dass irgendwo ein Dienst oder Task mit dem Konto konfiguriert ist und sich falsch anmeldet. Das solltest du zum Anlass nehmen, dort das Anmeldekonto zu ändern. Es hat einen Grund, warum man für sowas auf keinen Fall zentrale Administratorkonten verwendet ...

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 12:27

Hallo Nils, 

 

jup. Da hast du natürlich Recht. Wir haben dieses Netzwerk nur übernommen, weil es eben immer soviele Probleme gegeben hat. Ich kenn das auch noch (schande) aus "früheren" Zeiten wo ich selbst das Admin Konto für div. Dienste verwendet hab. Das löst ab und an Probleme ist aber natürlich fatal. 

 

Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event:

 

1) 4625 ist das richtige Event für eine Fehlanmeldung?

2) In welchen Anwendungs- und Dienstprotokoll wird das getriggert?

3) Kann ich da nach irgendwas über die Volltextsuche suche, dass mir die Suche erleichtert?

 

4) Wenn ich diesen Client nicht finde, sperrt es das Konto trotzdem wenn ich im AD nur die Maschinen eingebe, an der er sich anmelden darf?

 

Danke!


Bearbeitet von ManfredRitter, 08. August 2017 - 12:29.


#7 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 08. August 2017 - 12:39

Die  wichtigsten Events habe ich doch beschrieben. Du guckst zuerst nur auf allen DCs. Wenn Du was findest, kannst Du noch auf  der  dann bekannten Maschine forschen. Manchmal ist die Ursache eine Anwendung, an der  sich User  anmelden. Dann  sitzt der User natürlich woanders. Hier  helfen dann nur noch  Logs innerhalb der Anwendung weiter.

 

PS: Wenn Server und Client Kerberos verwenden, findest Du auf dem DC i.d.R. nur 4771 . Ich meine, bei NTLM kommen andere Events, die erkenne ich aber nur wenn ich sie sehe ;). Will sagen: Die fallen mir spontan nicht ein.

Edit2: Wenn ich mich z.B. am DB2-Server falsch anmelde, kommt 4776 auf einem DC:

 

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: User
Source Workstation: Server
Error Code: 0xC000006A


Bearbeitet von zahni, 08. August 2017 - 12:45.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#8 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 08. August 2017 - 12:53

Moin,

 

Anyway. Ich habe 80 Rechner und finde in den Logs einfach nicht den richtigen Event:

 

du musst auf den DCs suchen. Nur auf denen und auf allen.

 

Die Anmeldeeinschränkungen im Benutzerkonto dürften nur die interaktive Anmeldung betreffen, nicht die als Dienst oder Task.

 

Wahrscheinlich solltest du die Domäne mal nach Dienst- und Task-Anmeldungen durchsuchen und dort aufräumen.

 

[Dienst- und Task-Konten identifizieren | faq-o-matic.net]
https://www.faq-o-ma...identifizieren/

 

[Service-Accounts in einem Windows-Netzwerk finden | faq-o-matic.net]
https://www.faq-o-ma...etzwerk-finden/

 

Gruß, Nils


Bearbeitet von NilsK, 08. August 2017 - 12:53.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 13:35

Danke.

 

Ich schätze ich hab den Fehler gefunden. Wie gesagt, wir haben das hier übernommen als "Herausforderung". Eines der schlimmsten Netze die ich je gesehen habe. Es aufen immer noch auf 2008 Server, teils auf physischen Maschinen. Wir haben jetzt in einer kompletten Spiegelung der Serversysteme in eine VM und die Migration auf 2016 durchgespielt. Was auch soweit geklappt hat. Das meiste löste sich dann als die alten Server weg waren. Im Prinzip hätte man alles auf 0 Stellen sollen, aber bei ü. 80 Arbeitsplätzen... Naja, lange rede kurzer Sinn. Denke das war jetzt mein Fehler:

 

Auf einem neuen 2016 Server (der nur in die Domäne eingehägt worden ist) übertragen wir ein paar Windows-Fremde Anwendungen (CAD-Lizenzserver etc.), damit die schonmal weg sind.
Kann es also sein, dass ich mich am 2016 mit dem Admin anmelden kann, er aber dann nochmal Anmeldungen startet (ggf. andere Authentifizierungmethode) und der alte Server sie dann sperrt? Ich denke da an die o.g. Kerberos Authentifizierung. Authentifzierte 2008 ausschließlich mit NTLM?

 

Bzw. tritt diese Problem sowieso auf wenn man einen 2016 in das Netzwerk bringt?



#10 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 08. August 2017 - 13:42

Moin,

 

hm, also so pauschal: nein, für alle Fragen.

 

Zunächst sollte man sich überhaupt nicht mit "dem" Administrator irgendwo anmelden. Dann übernehmen Applikationen die Identität des aufrufenden Kontos (also die gültige Anmeldung). Dienste nutzen im Unterschied dazu die Anmeldung, die als Dienstkonto hinterlegt sind.

 

"Komplette Spiegelung der Serversysteme" - klingt gleichzeitig spannend und gruselig. Was immer ihr da macht, ich hoffe, ihr habt das Konzept von vorne bis hinten durchdacht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 14:01

Okay, wenn nein, dann meinst du man kann einen 2016 einfach in die Domäne zu den 2008ern ohne Bedenken hinzufügen?

Mit dem Administrator melde ich mich ja an den Servern an. Alle Apps die darauf laufen haben einen eigenen User mit ihren benötigten Rollen. 

 

Wir haben alle Server gesichert und sie in eine VM zurück gesichert, ebenso die "wichtigen" Clients um dort dann zu migrieren und das Verhalten zu beobachten.
Die "Originale Umgebung" haben wir natürlich so gelassen wie sie sind. 

 

In einem der ersten Schritte war die Idee, die ganzen Zusatzanwendungen "Datev, Warenwirtschaft, CAD-Lizenzen usw". zuerst auf neue Server zu legen und dann die Windows Dienste (Server, Exchange etc.) zu migrieren. 

Im Test fiel uns das nicht auf, das er dieses Konto immer sperrt. Wir haben Admin Abstufungen. Es gibt den Oberadmin einen zweiten und dritten jenachdem wieviel rechte er braucht. Die Warenwirtschaft läuft z.B. nur rund mit dem zweiten der ein paar Rechte mehr hat, wird aber nur für den Dienst und nicht für die Anmeldung verwendet. 

 

Also, auf dem 2016 läuft bisher nur der CAD-Lizenzserver der aber als Systemdienst läuft. 



#12 zahni

zahni

    Expert Member

  • 16.519 Beiträge

 

Geschrieben 08. August 2017 - 14:09

Wenn technische User gebraucht werden, sollten die dediziert  eingerichtet, mit einem sicheren Password versehen und nur für die eine Aufgabe bzw. Software verwendet werden.

Das Design ist  sicherer und Du siehst schnelle, wer da rumzick.

Bei "Administrator" ist es ein besonderes Problem, weil es den sowohl lokal als auch in der Domäne gibt. Wenn sich eine Anwendung lokal als Dienst mit "administrator" anmeldet, passiert es schnell mal, dass damit dann der Domänen-Administrator gesperrt wird, wenn beide unterschiedliche Passwörter verwenden (was unbedingt empfehlenswert ist).


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#13 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 08. August 2017 - 14:44

Die Frage bleibt: Gibt es Probleme dass eine Sperrung des Benutzerkontos erfolgt, wenn ein 2016 Server sich mit einem Domänen-Benutzerkonto an einem 2008 Server anmeldet...


  • Chomper gefällt das

#14 NilsK

NilsK

    Expert Member

  • 12.472 Beiträge

 

Geschrieben 08. August 2017 - 14:45

Moin,

 

das war in meiner obigen Antwort "nein" bereits enthalten. Wäre ja auch irgendwie nicht tragbar.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 ManfredRitter

ManfredRitter

    Newbie

  • 11 Beiträge

 

Geschrieben 11. August 2017 - 08:15   Lösung

Ahhhh. Es war tatsächlich ein Dienst. Hatte ihn übersehen. SORRY!!!