Gesperrte Benutzer Konten

[OliverZ]

Hallo!

Derzeit werden täglich Benutzerkonten bei uns gesperrt, wir vermuten, dass jemand über unseren OWA Passwörter testet.

Wie oder Wo kann ich einen Eintrag finden, bezüglich fehlgeschlagener OWA Logins bzw noch besser, den Grund warum das Konto gesperrt wurde.

Auf dem OWA Frontend Server habe ich nichts gefunden, auf den Domaincontrollern auch nicht.

Gibt es eine GPO die ich aktivieren muss?

Wenn jemand über OWA Passwörter testet, hätte ich gerne seine IP Adresse, welche Tipps habt ihr für mich?

Danke!!!

[chirho]

Hallo.

Was sagen denn die IIS-Logs?

[olc]

Hi,

OWA Anmeldungen sperren keine Konten, da es sich um einen nicht umfassten Anmeldetyp für Kontensperrungen handelt.

Du mußt auf Deinen DCs gegenprüfen, von welchem Client die Sperrung ausging. Am besten Du fängst auf dem PDCe an, von dort bekommst Du den Hinweis, auf welchem DC die Sperrung stattgefunden hat (ggf. auch auf ihm selbst) und von dort bekommst Du den Client.

Viele Grüße
olc

[blub]

ganz praktisch ist dazu für die Suche das Tool "lockoutstatus"

cu
blub

[carlito]

Download: http://www.microsoft.com/downloads/d...displaylang=en bzw. Einzeldownload: http://www.microsoft.com/downloads/d...displaylang=en

Beschreibung: "Determines all the domain controllers that are involved in a lockout of a user in order to assist in gathering the logs. LockoutStatus.exe uses the NLParse.exe tool to parse Netlogon logs for specific Netlogon return status codes. It directs the output to a comma-separated value (.csv) file that you can sort further, if needed."

[Daim]

Servus,

das könnte auch der Conf***er Virus sein.
Gehe dem auch einmal nach.

[s_sonnen]

Ich kann Daim nur unterstützen, das wär' das Erste was ich testen würde. Deine Beschreibung paßt, leider, ziemlich typisch auf den Virus.

Viel Glück, ... und hoffentlich liegen wir falsch.
M.

[olc]

Hi,

na ja, wenn es die Dimension vom Conf***er hätte, wären wahrscheinlich mehr / alle Accounts betroffen. Aber klar, einen Blick in die Richtung ist sicher nicht verkehrt.

Nebenbei die Frage: Nach wie vielen ungültigen Anmeldeversuchen werden die Accounts in der Umgebung gesperrt, d.h. was ist von Euch konfiguriert worden? Wenn es nur 3 oder 5 ungültige Anmeldeversuche sind, brauchen wir hier gar nicht großartig herum zu suchen. Dann solltest Du erst einmal mindestens 10 Anmeldeversuche einstellen und prüfen, ob das Problem dann immer noch auftritt.

Viele Grüße
olc

[OliverZ]

OK, ich habe getestet, ob OWA Accounts sperrt und dem ist so.

In den Events am DC (alle FSMO Rollen als Master) kommt das Event mit der ID 4740 wenn ein User gesperrt wird. Als Melder wird immer der Frontend Server von OWA angegeben. Ich werde jetzt noch die IIS Logs auf Zugriffe prüfen, die während der Kontensperrung statt fanden.

Wir hatten früher 7 falsche PW Eingaben erlaubt. Der Counter wurde nach 120 Minuten resetet. Jetzt haben wir es auf 3 herunter gesetzt.

Früher gab es solche Sperrungen nur einmal im Jahr. Jetzt im zwei Tagesabstand.

Danke für die vielen und auch sinnvollen Antworten!!!

[OliverZ]

Con****er ist es glaub ich nicht!

USB, CDRom, Bluetooth, Infrarot, SD-Karten sind bei uns gesperrt. User bekommen nichts in den PC hinein.

Per SMTP und HTTP(S) kommen auch keine ZIP, Exe, MSI und sonst etwas in unser Netz. Firewall läßt FTP, HTTP+S und SMTP durch, sonst nichts.

Laut Wikipedia kommen die gesperrten Konten beim con****er durch bruteforcen von geschützten Shares, welche bei uns aber nur im LAN erreichbar wären, nicht über die Firewall aus dem Internet. Jeder Rechner ist mit einem KAV Client ausgestattet + aktiver Desktop FW.

Kaspersky kennt Con****er, imho, schon lange.