Jump to content
Sign in to follow this  
Krypto

Administratorkonto wird immer gesperrt

Recommended Posts

Hallo,

 

im Ereignisprotokoll erscheint folgende Meldung im Abstand von 5min:

 

Ereignis ID: 529, Benutzer: NT-Authorität\System

 

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort

Benutzername: administrator

Domäne: meineDomäne

Anmeldetyp: 2

Anmeldevorgang: Advapi

Authentifizierungspaket: Negotiate

Name der Arbeitsstation: DC

Aufruferbenutzername: DC$

Aufruferdomäne: meineDomäne

Aufruferanmeldekennung: (0x0,0x3E7)

Aufruferprozesskennung: 2348

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

 

Irgendwann ist dann das administratorkonto gesperrt.

 

Anmeldetyp2 soll "Console logon - interactive from the computer console." sein, ich habe alle Konsolen gecheckt - es liegt keine Anmeldung vor

 

Wonach kann ich noch suchen?

 

Gruß Krypto

Share this post


Link to post

nein, habe ich schon alles überprüft. es gibt nur auf einem Server (sharepoint portal server) geplante Task mit dem System als User

Share this post


Link to post

benenn halt einfach den Administrator um und erstell einen Dödeluser mit dem Namen Administrator.

 

cu

blub

Share this post


Link to post

Ist das der original Administrator? Kann ja fast nicht sein, denn dieses Konto unterliegt nicht der Kontensperrungsschwelle :suspect:

 

 

grizzly999

Share this post


Link to post

Hallo Grizzly999,

 

du hast natürlich recht, es ist ein erstellter Benutzer der "admin" heißt. Dieser ist in der Gruppe der Domänenadministratoren und wird bei uns für administrativen Zugang zu den System genutzt. Dieses Konto wird aber nicht mit einem Dienst oder geplanten Task verwendet.

 

Aus Gründen der Firmensicherheit hatte ich die Namen (Admin und DC) geändert. Sorry.

 

Gruß Krypto

Share this post


Link to post

Hallo,

 

da versucht wohl jemand den Admin zu knacken, kann auch per RDP mit Option /console passieren.

Ich würde mir auf jeden Fall die Überwachung aktivieren und dem Problem nachgehen.

Weiterhin würde ich das Passwort ( in ein sicheres ) des Admin ändern, sodaß der Zugriff nicht möglich wird für aussenstehende Benutzer.

Share this post


Link to post

Hallo,

 

ich denke dass ich nun einen kleinen Schritt weiter bin.

 

Wie es aussieht handelt es sich nicht um eine BruteForce Attacke gegen den Admin bzw. sollte es kein Virus/ Wurm sein.

 

Die Aufruferprozesskennung ist nämlich die PID und diese weist auf "wmiserver.exe" hin.

 

Im Internet finde ich Infos die auf den Insight Manager von HP hinweisen. Habt ihr hierzu noch eine Idee.

 

Danke für die Tipps eurerseits.

 

Gruß Krypto

Share this post


Link to post

so, Problem gelöst :-)

 

es handelt sich hierbei um die Software Pegasus WMI Mapper, welche bei der Installation von HP System Insight Manager ebenfalls installiert werden kann. Diese wir dann als Dinst eingerichtet. Ebenso versucht diese dann mit einem admin Konto auf das System zuzugreifen, was dann aber nicht geht, weil das system denkt der "erstellte" admin der Domäne will sich anmelden.

 

puuhhh, so was schafft mich immer.

 

Danke für die Hilfen. Schönen sonnigen Tag und beste WM-Laune-

 

Gruß Krypto

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...