Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SBS 2008 - Merkwürdige Einträge (ID-4625) im Security Log

Mitglied: Neo2k

Neo2k (Level 1) - Jetzt verbinden

10.01.2011 um 11:20 Uhr, 8637 Aufrufe, 6 Kommentare

Hallo Zusammen,

heute morgen wurde auf einem SBS2008 ein paar Loginversuche mit der ID:4625 geloggt.
Das Merkwürdige bei diesen Loginversuchen ist der Arbeitsstationsname und die Quell - IP-Adresse.

Als Arbeitsstationsname wird ein Client aus der eigenen Domäne angegeben. (lokaler Netbiosname), und als IP-Adresse ist die statische WAN-IP des Anschlusses, hinter dem der SBS2008 mit seinen Clients läuft.

Dass es ein Dienst ist, glaube ich eher nicht, weil:

- die statische WAN-IP des Anschlusses, wo der SBS2008 hinter steht, als Quelle angegeben ist.
- die verwendeten Benutzernamen, deren Anmeldung fehlgeschlagen, in dem Netzwerk nicht existieren. (Administrator und Firmenname).

Kann es sein, dass sich jemand von außen versucht einzuloggen, und dabei den Hostnamen + WAN-IP faked?? Das wäre ja der Hammer!

Irgend welche Ideen?
Mitglied: Ausserwoeger
10.01.2011 um 16:28 Uhr
Dein Interner Client kann das nicht sein den wenn du über eine Firewall von deinem Internen netz ins internet gehst darf das selbe packet nicht wieder über die Firewall rein. Ausser dein server steht hinter einer anderen firewall als deine clients.

Komischer fehler würde mal die Maschine die sich da laut clientname einloggen wollte untersuchen. Virus ?

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: Neo2k
10.01.2011 um 19:34 Uhr
Danke für die Antwort.

Der Client ist ein Windows 7 64Bit. Die Installation ist gerade mal 2 Wochen alt. Virenschutz ist ebenfalls von Anfang an vorhanden. (Gdata). Windowsupdates sind auch alle drauf. UAC ist an.
Ich werde ihn trotzdem mal durchchecken.

Gibt es sonst noch irgendwelche Möglichkeiten?

Gruß,
Sascha
Bitte warten ..
Mitglied: Ausserwoeger
11.01.2011 um 09:56 Uhr
Wenn deine Clients hinter der selben Firewall stehen kanns nur ein externer sein. Vielleicht ein Laptop der zur firma gehört und von extern zugreifen will ?

kann ich nur schätzen ! Was war das den für ein loginversuch ? Normales anmelden an der domain ?
Schau mal ob du am client im Eventlog was findest !

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: Neo2k
11.01.2011 um 13:08 Uhr
Hier ein Ausschnitt aus dem Eventlog Sicherheit:

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: firmenname (manchmal auch "Administrator", den ist in der Domäne nicht gibt)
Kontodomäne: korrektedomäne.local

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: bekannter-client (es wird der richtige NB-Name angegeben)
Quellnetzwerkadresse: xxx.xxx.xxx (WAN-IP dieses Anschlusses)
Quellport: 57873

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Sehr interessant:
Beim Client wird um die gleiche Uhrzeit ein (!) erfolgreicher (!) Login von Outlook mit diesem besagten "Firmenamen" als Anmeldename protokolliert. ??

Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
Sicherheits-ID: Domäne\Anmeldename (existiert)
Kontoname: Anmeldename
Kontodomäne: DOMAENE
Anmelde-ID: 0x4b857
Anmelde-GUID: {00000000-0000-0000-0000-000000000000} <- die habe ich nicht genullt. Werden wirklich so ausgegeben!

Konto, dessen Anmeldeinformationen verwendet wurden:
Kontoname: firmenname
Kontodomäne: DOMAENE
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Zielserver:
Zielservername: SERVER.domaene.local
Weitere Informationen: SERVER.domaene.local

Prozessinformationen:
Prozess-ID: 0x1220
Prozessname: C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE

Netzwerkinformationen:
Netzwerkadresse: -
Port: -
Outlook ist dort mit Exchange verbunden. Frage mich, wo 1. der komische Benutzername her kommt und 2. wieso die statische WAN-IP als Quelle vom Server gemeldet wird.
Da stimmt doch was nicht....!?

Gruß,
Sascha

Update: Ok, ich habe herausgefunden, dass bei dem Exchange-Konto die Einstellung zum Verbindungsaufbau über "http-proxy mit ssl" angeklickt war, wobei die externe FQDN angegeben wurde.
Ist in einem lokalen LAN ja nicht notwendig, also habe ich das mal deaktiviert.
Seltsam ist allerdings immernoch der Benutzername, mit dem sich versucht wurde anzumelden. (Administrator / Firmenname).
Bitte warten ..
Mitglied: Ausserwoeger
11.01.2011 um 13:14 Uhr
Na dann weisst du schon wo du suchen musst ! Hast du Outlook 2007 oder 2010 ?

Schau mal am Outlookkonto des clients unter weitere Einstellungen dann auf verbindungen ob da Verbindung mit Exchangeserver über HTTP eingeschaltet ist. Und Teste ob der fehler noch besteht wenn du das abschaltest.

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: Neo2k
07.08.2011 um 21:02 Uhr
Sorry Leute, aber diesen Thread habe ich total vergessen! Asche über mein Haupt!

Die Lösung war im Endeffekt eine Neuinstallations des Notebooks. Das Teil war vom Anwender her mit Scareware, Shareware, etc. total zugemüllt.
Nach der Neuinstallation hat er erst mal die lokalen Adminrechte entzogen bekommen, und die Richtlinien verschärft. Seitdem ist Ruhe im Karton.
Bitte warten ..
Ähnliche Inhalte
Microsoft
EventLog-ID 4625
gelöst Frage von AliasSebboMicrosoft19 Kommentare

Hallo Administrator.de-Gemeinde, wir haben bei einem Kunden schon seit längerem das Problem, das die Ereignisanzeige vollgeschrieben wird mit der ...

Exchange Server

Ständige Event ID 4625 Exchange 2010

Frage von feeblesExchange Server1 Kommentar

Hallo Board, ich habe täglich mehrere Fehlanmeldungen auf Exchange 2010. Die Meldungen sehen etwa so aus: Antragsteller: Sicherheits-ID: NETZWERKDIENST Kontoname: EXSRV$ ...

Verschlüsselung & Zertifikate

Merkwürdiger Zertifikatsfehler bei SBS 2011

Frage von Ruediger010Verschlüsselung & Zertifikate14 Kommentare

Guten Abend allerseits, bei einem Kunden ist ein Exchange Zertifikat beim SBS 2011 ausgelaufen und wurde über den Assistenten ...

Samba

Problem mit Home Server merkwürdige Smbd Log Meldung?

gelöst Frage von WaylinSamba3 Kommentare

Hallo zusammen ich bin gerade dabei mir einen Mini Home Server aufzubauen und habe ein merkwürdiges Problem. Eines der ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 4 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 18 StundenSicherheit2 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless19 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware15 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...