Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Andauernde fehlgeschlagene Anmeldungen mit Anmeldetyp 10 (SBS 2003 Premium - ISA und Exchange)

Frage Sicherheit Erkennung und -Abwehr

Mitglied: stz007

stz007 (Level 1) - Jetzt verbinden

23.10.2010 um 16:00 Uhr, 7600 Aufrufe, 2 Kommentare

Hallo miteinander,

ich schätze das mein Problem viele betrifft und wollte mich mal erkundigen, wie ihr damit umgeht.

Ich habe in unterschiedlichen Schüben (mal 100, mal 1000) fehlgeschlagene Anmeldungen an unseren Server (SBS 2003 Premium mit ISA und Exchange).

Hier ein Beispiel von 1000den:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 21.10.2010
Zeit: 08:33:19
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SBS
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: administraten
Domäne: R-EL
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SBS
Aufruferbenutzername: SBS$
Aufruferdomäne: R-EL
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 7276
Übertragene Dienste: -
Quellnetzwerkadresse: 69.255.158.186
Quellport: 21756


Die Quellnetzwerke sind unterschiedlich und ich habe auch schon ein paar IPs gesperrt, aber dies ist auf Dauer keine Lösung.
Ich nehme an, dass es automatische Anmeldeversuche über Remotedektop sind. Da ich aber diesen Dienst benötige, um selbst mal nach dem Rechten zu schauen, kann ich diesen nicht einfach abschalten.

Wie geht Ihr mit dem Problem um oder habt ihr Lösungen parat? Hatte mal gelesen, dass man bei Remotedesktop (von Microsoft) auch Zertifikate verwenden kann, damit nur meine Rechner zugreifen können. Hat hier jemand schon Erfahrungen?

Freue mich auf Ideen ... Danke schon mal!!!

Viele Grüße aus Berlin

Marco
Mitglied: Pjordorf
23.10.2010 um 16:15 Uhr
Zitat von stz007:
Hallo,

----
ich schätze das mein Problem viele betrifft und wollte mich mal erkundigen, wie ihr damit umgeht.
Nein.

Ich habe in unterschiedlichen Schüben (mal 100, mal 1000) fehlgeschlagene Anmeldungen an unseren Server (SBS 2003 Premium mit
ISA und Exchange).
Sind normale versuche an etwas dran zu kommen von unbekannten Quellen (Jaja, immer die Bösen)

Quellnetzwerkadresse: 69.255.158.186
Keine dir bekannte IP? Keiner deiner Mitarbeiter? Dann versucht es irgendwer von irgendwo (das BÖSE).

Die Quellnetzwerke sind unterschiedlich und ich habe auch schon ein paar IPs gesperrt, aber dies ist auf Dauer keine Lösung.
Gar kein lösung.

Ich nehme an, dass es automatische Anmeldeversuche über Remotedektop sind. Da ich aber diesen Dienst benötige, um selbst
mal nach dem Rechten zu schauen, kann ich diesen nicht einfach abschalten.
Du hast RDP auf einem SBS 2003 Premium nach aussen freigegeben? Und dann noch einen ISA 2004 davor?

Warum nimmst du nicht RWW (Remote Web Workplace)? Das ist doch dazu da um nicht RDP nach aussen freigeben zu müssen. Dazu hast du noch deinen ISA 2004 davor. Die Asisstenten helfen dir beim einrichten von RWW.

Wenn du nur SMTP (Mailzustellung), RWW, OWA (Outlook Web Access), OMA (Outlook Mobile Access) und Outlook over HTTPS (RPC over HTTP) nutzen willst, dann benötigst du nur folgende an dein SBS weitergeleitet Ports. 25, 443 und 4125 (RWW helperport). Das RWW stellt dir ein TS-Gateway zur verfügung, womit du auf allen PC's drauf kommst. Dein SBS macht intern RDP zum Client. Du machst eine Browsersitzung mit einem IE (ActiveX wird benötigt) über HTTPS.

Solltest du denoch den Wunsch haben direkt per RDP auf deinen SBS oder auf die Clients zuzugreifen, dann nur unter zuhilfenahme eines VPN. Dein ISA 2004 ist dafür doch geradezu prädestiniert eine PPTP aufzubauen. PPTP deshalb damit du ohne Client VPN Software auskommen kannst (nicht musst). Selbst dein IPhone kann das und dann ist RDP wieder sicher. Und auch hier helfen dir die Asisstenten ein VPN einzurichten (ja, die vom SBS können das).

RDP direkt auf einen SBS oder Client weitergeleitet gehört bestraft (du merkst ja, die Einbrecher sind dran...)

Peter
Bitte warten ..
Mitglied: stz007
24.10.2010 um 16:01 Uhr
Hallo Peter,

vielen Dank für Deine Antwort.

Ich habe nun erstmal beim Server unter Systemsteuerung/System/Remote das Häkchen bei Remotedesktop entfernt. Oder muss das drin bleiben, wenn ich RWW nutze?

Ich kann zwar RWW über den Explorer aufrufen, aber wenn ich eine Verbindung herstellen will passiert erstmal nichts ... außer eine Fehlermeldung.

Die Ports in unserem Router sind weitergeleitet, wie Du es beschrieben hast ... zusätzlich noch TCP 1701 (L2TP), TCP 1723 (PPTP) und UDB 500 (IPSec) sowie 50 (ESP).

Wenn ich RDP weiterhin nutzen möchte, wo kann ich denn einstellen, dass hierfür VPN genutzt wird? Ich kann ja schon mittelsVPN (IPSec) von außen auf die Daten des SBS zugreifen. Muss ich dann, wenn ich irgendwo die Einstellung vorgenommen habe, einfach eine VPN-Verbindung herstellen und kann dann RDP benutzen? Und wenn ich die VPN-Verbindung nicht herstelle funktioniert RDP auch nicht?

Frage über Fragen

Ich traue mich immer nicht so richtig an den ISA ran

Viele Grüße

Marco
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...