Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Failure Audit Event ID 577 unter Windows Server 2003

Mitglied: sartori

sartori (Level 1) - Jetzt verbinden

23.07.2009, aktualisiert 14:20 Uhr, 6819 Aufrufe, 4 Kommentare

Im Security-Log des Servers erscheint im Sekundentakt der Event ID 577: Failure Audit, ausgelöst durch Network Service.

Hallo zusammen

Seit einigen Tagen bin ich auf der Suche nach der Ursache für folgendes Phänomen:

Praktisch im Sekundentakt erscheinen im Windows Server 2003 Security-Log Fehlermeldungen mit Event-ID 577 (siehe Pic1).

1abf037714461e37a7dbcbfcbc394f6d-pic1 - Klicke auf das Bild, um es zu vergrößern

Inzwischen habe ich festgestellt, dass das Problem im Zusammenhang mit MOM Agent 2005 stehen muss, denn stoppe ich diesen Service, hört die Protokollierung des erwähnten Events augenblicklich auf. Ich habe schon versucht, den Agent zu de-/neuinstallieren. Keine Veränderung. Auch das Anpassen der Zugriffsrechte auf Filesystem-Ebene hat nichts gebraucht. Allmählich bin ich mit meinem Latein am Ende.

Meine Frage an Euch ist deshalb:

Kennt Jemand eine Freeware, mit der ich prüfen kann, welcher Prozess bzw. welcher Vorgang hier die Fehlerquelle sein könnte? Mit ProcessExplorer von Sysinternals bin ich nicht weitergekommen.

Vielen Dank für Eure Hilfe.

Viele Grüsse
Andreas
Mitglied: MiniStrator
23.07.2009 um 15:48 Uhr
Versuch doch mal den Agent als Local System starten zu lassen statt als network service. Vielleicht hilfts ja

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
23.07.2009 um 16:12 Uhr
Hallo MiniStrator

Vielen Dank für die Antwort.

Der MOM-Agent läuft bereits unter "Local System"; ich vermute, dass das Auftauchen des Network-Services im Zusammenhang mit einem abhängigen Dienst steht. RPC beispielsweise läuft unter Network Service. Ich habe auch schon sämtliche Services, welche im Kontext des "Network Service" laufen, deaktiviert (ausser RPC). Ohne Erfolg. Sobald ich aber MOM deaktiviere, verschwindet der Event 577.

Es ist sehr schwierig, die Fehlerquelle einzugrenzen; und ich setze Hoffnungen in ein Tool, welches mir die Falschzugriffe aufzeigen könnte.

Gruss,
Andreas
Bitte warten ..
Mitglied: MiniStrator
23.07.2009 um 17:03 Uhr
Hallo Andreas,

hab hier noch was:

<Zitat>
Einsetzen als Teil des Betriebssystems
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTcbPrivilege. Das Benutzerkonto,
von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf
hinweisen, dass ein Benutzer versucht hat, seine Sicherheitsrechte zu erhöhen, indem er als Teil des
Betriebssystems handelt. Ein Beispiel hierfür ist die GetAdmin-Attacke, bei der ein Benutzer versucht, sein
Konto der Administratorgruppe hinzuzufügen und deren Rechte zu nutzen. Einträge für dieses Ereignis sollten
einzig das Systemkonto und Dienstkonten mit diesem Benutzerrecht betreffen

und

Einsetzen als Teil des
Betriebssystems
(SeTcbPrivilege)

Ermöglicht einem Prozess die Authentifizierung als Benutzer und somit den Zugriff auf die für den Benutzer zugänglichen Ressourcen. Nur einfache Authentifizierungsdienste sollten dieses Recht erfordern.
Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen beschränkt, da der aufrufende Prozess anfordern kann, dass weitere willkürliche Zugriffe in den Zugriffstoken aufgenommen werden. Weitaus wichtiger ist, dass der aufrufende Prozess einen anonymen Token aufbauen kann, der alle Zugriffe bietet. Darüber hinaus stellt der anonyme Token keine primäre Identität bereit, um Ereignisse im Überwachungsprotokoll zu verfolgen.
Das Konto "LocalSystem" verwendet dieses Privileg standardmäßig.
</Zitat> (Quelle Microsoft)

Zu finden wäre das in den lokalen Sicherheitsrichtlinien: Security Settings - Local Policies - User Rights assignment - Act as a part of the operating system

Wäre evtl nen Versuch wert, hier Network Service reinzunehmen. Es scheint ja network Service zu sein der genau damit nicht durchkommt

Tool kenne ich leider keines, Process Explorer hast du ja schon probiert

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
24.07.2009 um 09:52 Uhr
Guten Morgen, MiniStrator

Vielen Dank für Deine Antwort und die damit verbundenen Bemühungen.

Deine Idee hat sehr vielversprechend geklungen. Ich habe den Network-Service in die entsprechende Gruppe "Act as a part of the operating system" eingetragen und das System sicherheitshalber neu gestartet. Leider erscheint der Fehler noch immer im Eventlog.

Ich werde somit weitersuchen, was hier das Problem sein könnte. Vielleicht kennt ja doch noch Jemand ein Hilfsmittel, um den Grund für die Failure Audits ausfindig zu machen. Mir gehen nämlich echt die Ideen aus

Nochmals vielen Dank für Deine Hilfe!!!

Gruss
Andreas
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Kernel event ID 41
gelöst Frage von HeinrichMWindows Server1 Kommentar

Guten Morgen zusammen, ich habe einen Windows Kernel event ID 41 bei einer Hyper-V Maschine. Natürlich habe ich auch ...

Windows Server
Event ID: 1003 - Windows Server 2012 R2
Frage von peterpaWindows Server1 Kommentar

Hallo, wie der Name schon sagt wird andauernt (stündlich 2x) ein Fehler in den Eventlog geschrieben aber finde leider ...

Windows Server
Event ID 78
Frage von rocco61Windows Server1 Kommentar

Guten Morgen zusammen, habe auf dem Server 2012 R2 eine sidebyside Fehlermeldung, event id 78. Bei eventid.net werde ich ...

Windows Server

Server 2012 R2 - Windows Server Sicherung - Event ID 51, 157 im Hypervisor und Event ID 1, 58 im Gast

gelöst Frage von minimalwerkWindows Server12 Kommentare

Hallo liebe Community, bei meinem geplanten Windows Server Backup-Job bekomme ich immer die im Betreff genannten Event-Id's Mein System ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 4 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 16 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 18 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 18 StundenMicrosoft11 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server31 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...