5
Event ID 4740 - Ein Benutzerkonto wurde gesperrt
Hallo Leute,
ich habe hier einen Server, der auf dem Domänencontroller ständig Event 4740 triggert - also es würde ein Benutzerkonto gesperrt werden.
Angeblich wird das Domänenadmin Konto gesperrt - was natürlich nicht der Fall ist.
Ich hab heute mal geschaut, warum dieser Server das verursacht. Konnte aber bisher nichts finden.
Gehe ich auf die Event Details steht da jedesmal die Prozess ID 600 drin.
Auf dem Server läuft allerdings kein Prozess mit dieser ID.
Überlege grad, wie ich permanent monitoren kann, ob Prozess ID 600 vorhanden ist und falls ja, die Prozessinfos ausgegeben werden, damit ich mal sehe, was das denn für ein Prozess ist.
Jemand sonst ne Idee oder Vorschlag wie ich das analysieren kann - oder kennt sogar die Ursache, warum das so ist?
VG
KangarooJack
ich habe hier einen Server, der auf dem Domänencontroller ständig Event 4740 triggert - also es würde ein Benutzerkonto gesperrt werden.
Angeblich wird das Domänenadmin Konto gesperrt - was natürlich nicht der Fall ist.
Ich hab heute mal geschaut, warum dieser Server das verursacht. Konnte aber bisher nichts finden.
Gehe ich auf die Event Details steht da jedesmal die Prozess ID 600 drin.
Auf dem Server läuft allerdings kein Prozess mit dieser ID.
Überlege grad, wie ich permanent monitoren kann, ob Prozess ID 600 vorhanden ist und falls ja, die Prozessinfos ausgegeben werden, damit ich mal sehe, was das denn für ein Prozess ist.
Jemand sonst ne Idee oder Vorschlag wie ich das analysieren kann - oder kennt sogar die Ursache, warum das so ist?
VG
KangarooJack
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6824778101
Url: https://administrator.de/contentid/6824778101
Printed on: May 5, 2024 at 19:05 o'clock
5 Comments
Latest comment
Hi
Aktiviere folgendes Audit Log am Server (oder am besten überall)
Computer Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:
Audit process tracking: Success, Failure
Audit logon events: Success, Failure
Dann findest du beim nächsten Lock im lokalen Log eine EventID 4625 im Security Log. Da steht dann der Prozess inkl. Pfad drin
Aktiviere folgendes Audit Log am Server (oder am besten überall)
Computer Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:
Audit process tracking: Success, Failure
Audit logon events: Success, Failure
Dann findest du beim nächsten Lock im lokalen Log eine EventID 4625 im Security Log. Da steht dann der Prozess inkl. Pfad drin
Zitat von @SeaStorm:
Hi
Aktiviere folgendes Audit Log am Server (oder am besten überall)
Computer Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:
Audit process tracking: Success, Failure
Audit logon events: Success, Failure
Dann findest du beim nächsten Lock im lokalen Log eine EventID 4625 im Security Log. Da steht dann der Prozess inkl. Pfad drin
Hi
Aktiviere folgendes Audit Log am Server (oder am besten überall)
Computer Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:
Audit process tracking: Success, Failure
Audit logon events: Success, Failure
Dann findest du beim nächsten Lock im lokalen Log eine EventID 4625 im Security Log. Da steht dann der Prozess inkl. Pfad drin
Also ich habe die beiden Optionen auf dem betroffenen Server aktiviert - kann auf diesem aber kein Event 4625 finden?
Auf dem DC sehe ich eine regelrechte SPAMWELLE 4625 - NTLM Meldungen.
Aber die sind von einem andern Client.
Dem muss ich auch mal noch nach gehen, was diese zu bedeuten haben, und was diese verursachen!
Moin.
was natürlich nicht der Fall ist.
Bist du dir sicher? Wie schnell entsperrt ihr Konten automatisch? Wenn das nach wenigen Minuten geschieht, bemerkst du die Sperrung ja gar nicht.
Ja, das "Administrator" Konto wird definitiv nicht gesperrt. Bin damit angemeldet und arbeite damit.
Gesperrt werden die Konten bei uns nach 6 ungültigen Anmeldeversuchen. Automatisch entsperrt nach 15 Minuten.
Die tausenden NTLM Meldungen von dem einen Client konnte ich schon ausfindig machen. Das waren Credentials die im Browser gespeichert waren.
Aber der eine Server generiert immer noch munter seine 4740. Hab da alle Anmeldedaten im Browsercache gelöscht und auch im "Tresor". Immer die Prozess ID 600. Aber wie gesagt es läuft kein Prozess mit der ID.
Muss echt schauen, dass ich mir da was Skripte, was die Prozesse überwacht.
Gesperrt werden die Konten bei uns nach 6 ungültigen Anmeldeversuchen. Automatisch entsperrt nach 15 Minuten.
Die tausenden NTLM Meldungen von dem einen Client konnte ich schon ausfindig machen. Das waren Credentials die im Browser gespeichert waren.
Aber der eine Server generiert immer noch munter seine 4740. Hab da alle Anmeldedaten im Browsercache gelöscht und auch im "Tresor". Immer die Prozess ID 600. Aber wie gesagt es läuft kein Prozess mit der ID.
Muss echt schauen, dass ich mir da was Skripte, was die Prozesse überwacht.
Die Prozess-ID ist nicht die vom Client, sondern die vom Domänencontroller und gehört zu Lsass.exe, das bringt dich also nicht weiter. Der eingebaute "Administrator" (und NUR der) kann nicht gesperrt werden (technisch wird es gesperrt, kann aber sofort wieder geöffnet werden). Sobald Du das richtige Kennwort eingibst, ist er wieder "flott".
Ergo: jemand versucht sich damit anzumelden und benutzt ein veraltetes (eingespeichertes?) Kennwort oder Brute-Force findet statt.
Ergo: jemand versucht sich damit anzumelden und benutzt ein veraltetes (eingespeichertes?) Kennwort oder Brute-Force findet statt.
