Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzerkonten in einer Domäne sind immer wieder gesperrt

Mitglied: Bloodred

Bloodred (Level 1) - Jetzt verbinden

11.06.2009, aktualisiert 11:17 Uhr, 16368 Aufrufe, 22 Kommentare

Hallo alle miteinander,

Wir haben in unserer Domäne massive Probleme mit den Benutzerkonten. Alle Benutzerkonten (inkl. Admins) werden ständig von unseren Domänencontroller gesperrt, teilweise sind die Benutzer gar nicht im Unternehmen (z.B. Urlaub). Wir haben 6 Filialen und alle Server in den Filialen schon mehrfach neu gestartet. Leider ohne Erfolg.
Langsam gehen uns die Ideen aus, deshalb hoffe ich dass uns hier jemand helfen kann. Wenn ihr noch weitere Info's braucht dann fragt mich bitte.


Vielen Dank !


Gruß Frank
Mitglied: noodyn
11.06.2009 um 11:22 Uhr
Bei solchen Problemen solltest du mal schaun ob du im Eventlog der / des Server(s) Einträge findest, welche annormal sind.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:22 Uhr
Ja was sagen denn die Eventlogs? Werden die Konten wegen falsch eingabe des Passwortes gesperrt? Speichert ihr den Benutzernamen oder bleibt das Feld leer wenn der Nutzer sich abgemeldet hat?

Fragen ueber Fragen....
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:27 Uhr
Hi,

Erstmal Danke für die schnelle Hilfe. Genau die Konten werden wegen falscher Passwörter gesperrt. Das kuriose ist das die Benutzer teilweise gar nicht vor Ort sind. Wenn ein Benutzer sich am PC abmeldet bleibt der Name drin stehen. (oder habe ich das jetzt falsch verstanden?)
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:32 Uhr
Das koennte zum Beispiel eine Fehlerquelle sein. Es gibt nutzer die schauen gar nach ob ihr Benutzername eingetragen ist. Damit sperren sie natuerlich dann das Konto ihrer lieben Kollegen.

Meiner Ansicht nach ist das Sperren von Nutzeraccounts nach drei Fehleingaben ein Risiko. Eine DOS-Attacke laesst sich so sehr einfach durchfuehren.

Mein Vorschlag fuer dich waere einmal den letzten Benutzernamen grundsaetzlich nicht im Anmeldefenster zu speichern.

Zusaetzlich wuerde ich die Konten nach falscher Passworteingabe nach 15 min wieder automatisch entsperren lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:40 Uhr
Hi Gagarin,

Zu Punkt 1: Wäre eine Möglichkeit, dann wären aber doch nicht alle Konten gesperrt (vor allem nicht die Domänen Administrator Konten)

Kann man vielleicht wirklich von einer Brute Force Attacke sprechen? Wenn ja was kann man da machen? Am Montag war auch Patchday von MS, könnte da vielleicht was im ADS kaputt gegangen sein?


Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:45 Uhr
Hallo!

Diese Probleme hatten wir bei uns in der Firma auch gehabt.
Bei uns war es ein Virus.
Ich würde einfach mal nur zur Sicherheit das Tool von Microsoft (Tool zum entfernen bösartiger Software) über die Rechner (Server) laufen lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:46 Uhr
Ok wird gemacht!

Vielen Dank!
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:50 Uhr
Kann aber ewig dauern bis das Tool durchgelaufen ist. Also Geduld
haben.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:59 Uhr
Ich bin davon ausgegangen das Ihr schon ein Antivirenscan durchgefuehrt hattet.

Um zu sagen ob es sich dabei um ein Brute Force attacke handelt gibts einfach zu wenig informationen
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:06 Uhr
Unser Virenscanner (MacAffee) hatte nichts gefunden. Das Microsoft Tool läuft gerade.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:54 Uhr
Das Microsoft Tool zum entfernen bösartiger Software hat leider nichts gefunden.


Noch jemand eine Idee?
Bitte warten ..
Mitglied: riesenhil
11.06.2009 um 12:58 Uhr
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße
Bitte warten ..
Mitglied: Cubic83
11.06.2009 um 15:19 Uhr
Zitat von riesenhil:
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet
ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße

Was würde das bewirken? Verstehe nicht ganz.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 15:24 Uhr
Ich moechte ja nicht nerven aber ich denke mal ein Blick in die Eventlogs waere wirklich hilfreich.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 15:43 Uhr
Hi alle miteinander,

Es war offensichtlich der Wurm "Conficker, wir sind gerade dabei ihn zu entfernen.Danke für eure Hilfe. Ich melde mich nochmal wenn die Sache gegessen ist.

Gruß Frank
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:00 Uhr
Wie ihr vorgehen müsst wisst ihr oder?

Das Ding ist hässlich und nicht so ohne weiteres zu entfernen.

LG
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:07 Uhr
Warum hat McAfee nicht Alarm geschlagen?!?
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:36 Uhr
Also wenn ein Scanner Alarm schlägt, ist es in der Regel eh zu spät. Da der Wurm dann bereits im Netz ist.

Und wenn ich die Posts so lese, scannt ihr online. Oder?

Wie gesagt, unterschätzt das Thema nicht.
Ich kann leider hier keine direkten Tipps geben, da unsere Kunden diese Informationen kostenpflichtig erhalten. Da dies ein von den Herstellern nicht supporteter Zustand ist. Daher auch Kostenpflichtig.

Ein Tipp vorweg. Belest Euch bei dem, was ihr tut.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:54 Uhr
@deeboo

Wenn bei uns zb. ein USB-Stick angeschlossen wird und er mit einer Confickervariante infiziert ist werden die entsprechenden Files entweder geblockt, gelöscht und/oder in Quarantäne verschoben. Ich wuesste nicht was daran zu spaet sein sollte.

Hier noch eine Link zum McAfee Stinger um die Probleme mit Conficker zu loesen: http://vil.nai.com/vil/averttools.aspx

Andere Frage.... wie kommt ihr eigentlich darauf das es sich um Conficker handelt?
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 17:07 Uhr
Hi Leute,

Der Wurm war auf einem PC welcher zwar in unserem IP Kreis ist jedoch nicht in der Domäne angemeldet ist. Der Rechner hat noch Windows 2000 drauf... Mit einem McAffee Tool (McAfee Conficker Detection Tool) konnte ich die IP's abscannen und dann wurde der Wurm entdeckt.

Den Stinger habe ich auf CD gebrannt und dann den Wurm entfernt. Scheint alles funktioniert zu haben... oder muss ich mir noch Sorgen machen?

Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 18:29 Uhr
Hallo!
Wir hatten auch mit dem Wurm zu kämpfen und haben den Wurm mehr oder weniger erfolgreich entfernt (wenn man von entfernen reden kann).
Unser Antiviren Programm (Norton) hat auch nichts gemeldet. Wir hatten das Tool von Microsoft laufen und direkt bei der RTVScan.exe hat das Tool den Wurm angezeigt
und im Abschlussbericht gesagt, dass kein Virus gefunden wurde. Unsere Vermutung ist, dass das Tool davon ausgeht, das ein ein Antivirusprogramm nicht infiziert sein kann.
Bei uns war es aber so.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 18:44 Uhr
McAfee erkennt den alle Variante jetzt zuverlässig. Es ist natürlich dumm gelaufen wenn der AV-Schutz der Nodes und der Patchlevel nicht 100 % ig ist.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(

Frage von VoDa81Windows Userverwaltung10 Kommentare

Hey, ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch ...

Exchange Server

Exchange Server Benutzerkonten Exportieren

Frage von regedit19Exchange Server3 Kommentare

Hallo Community! Ich möchte vom Exchange - Server die Benutzerpostfächer einer bestimmten OU exportieren. Ergibt allerdings folgende Fehlermeldung: Wenn ...

Windows Userverwaltung

Standardeinstellungen für neue Benutzerkonten vorgeben.

gelöst Frage von drobskindWindows Userverwaltung5 Kommentare

Hallo, ich habe hier aktuell folgende Situation: - kleines Büro mit 2-10 PC - ca. 5-8 Mitarbeiter Auf den ...

Windows Userverwaltung

AD Benutzerkonten miteinander Verknüpfen

gelöst Frage von RhoninnWindows Userverwaltung4 Kommentare

Hallo zusammen, ich stehe gerade vor ein Problem. Bei uns im Haus hat in der Regel jeder User seinen ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 54 MinutenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 4 StundenCPU, RAM, Mainboards3 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 18 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...