Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzerkonten in einer Domäne sind immer wieder gesperrt

Frage Microsoft Windows Userverwaltung

Mitglied: Bloodred

Bloodred (Level 1) - Jetzt verbinden

11.06.2009, aktualisiert 11:17 Uhr, 15586 Aufrufe, 22 Kommentare

Hallo alle miteinander,

Wir haben in unserer Domäne massive Probleme mit den Benutzerkonten. Alle Benutzerkonten (inkl. Admins) werden ständig von unseren Domänencontroller gesperrt, teilweise sind die Benutzer gar nicht im Unternehmen (z.B. Urlaub). Wir haben 6 Filialen und alle Server in den Filialen schon mehrfach neu gestartet. Leider ohne Erfolg.
Langsam gehen uns die Ideen aus, deshalb hoffe ich dass uns hier jemand helfen kann. Wenn ihr noch weitere Info's braucht dann fragt mich bitte.


Vielen Dank !


Gruß Frank
Mitglied: noodyn
11.06.2009 um 11:22 Uhr
Bei solchen Problemen solltest du mal schaun ob du im Eventlog der / des Server(s) Einträge findest, welche annormal sind.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:22 Uhr
Ja was sagen denn die Eventlogs? Werden die Konten wegen falsch eingabe des Passwortes gesperrt? Speichert ihr den Benutzernamen oder bleibt das Feld leer wenn der Nutzer sich abgemeldet hat?

Fragen ueber Fragen....
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:27 Uhr
Hi,

Erstmal Danke für die schnelle Hilfe. Genau die Konten werden wegen falscher Passwörter gesperrt. Das kuriose ist das die Benutzer teilweise gar nicht vor Ort sind. Wenn ein Benutzer sich am PC abmeldet bleibt der Name drin stehen. (oder habe ich das jetzt falsch verstanden?)
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:32 Uhr
Das koennte zum Beispiel eine Fehlerquelle sein. Es gibt nutzer die schauen gar nach ob ihr Benutzername eingetragen ist. Damit sperren sie natuerlich dann das Konto ihrer lieben Kollegen.

Meiner Ansicht nach ist das Sperren von Nutzeraccounts nach drei Fehleingaben ein Risiko. Eine DOS-Attacke laesst sich so sehr einfach durchfuehren.

Mein Vorschlag fuer dich waere einmal den letzten Benutzernamen grundsaetzlich nicht im Anmeldefenster zu speichern.

Zusaetzlich wuerde ich die Konten nach falscher Passworteingabe nach 15 min wieder automatisch entsperren lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:40 Uhr
Hi Gagarin,

Zu Punkt 1: Wäre eine Möglichkeit, dann wären aber doch nicht alle Konten gesperrt (vor allem nicht die Domänen Administrator Konten)

Kann man vielleicht wirklich von einer Brute Force Attacke sprechen? Wenn ja was kann man da machen? Am Montag war auch Patchday von MS, könnte da vielleicht was im ADS kaputt gegangen sein?


Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:45 Uhr
Hallo!

Diese Probleme hatten wir bei uns in der Firma auch gehabt.
Bei uns war es ein Virus.
Ich würde einfach mal nur zur Sicherheit das Tool von Microsoft (Tool zum entfernen bösartiger Software) über die Rechner (Server) laufen lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:46 Uhr
Ok wird gemacht!

Vielen Dank!
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:50 Uhr
Kann aber ewig dauern bis das Tool durchgelaufen ist. Also Geduld
haben.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:59 Uhr
Ich bin davon ausgegangen das Ihr schon ein Antivirenscan durchgefuehrt hattet.

Um zu sagen ob es sich dabei um ein Brute Force attacke handelt gibts einfach zu wenig informationen
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:06 Uhr
Unser Virenscanner (MacAffee) hatte nichts gefunden. Das Microsoft Tool läuft gerade.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:54 Uhr
Das Microsoft Tool zum entfernen bösartiger Software hat leider nichts gefunden.


Noch jemand eine Idee?
Bitte warten ..
Mitglied: riesenhil
11.06.2009 um 12:58 Uhr
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße
Bitte warten ..
Mitglied: Cubic83
11.06.2009 um 15:19 Uhr
Zitat von riesenhil:
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet
ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße

Was würde das bewirken? Verstehe nicht ganz.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 15:24 Uhr
Ich moechte ja nicht nerven aber ich denke mal ein Blick in die Eventlogs waere wirklich hilfreich.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 15:43 Uhr
Hi alle miteinander,

Es war offensichtlich der Wurm "Conficker, wir sind gerade dabei ihn zu entfernen.Danke für eure Hilfe. Ich melde mich nochmal wenn die Sache gegessen ist.

Gruß Frank
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:00 Uhr
Wie ihr vorgehen müsst wisst ihr oder?

Das Ding ist hässlich und nicht so ohne weiteres zu entfernen.

LG
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:07 Uhr
Warum hat McAfee nicht Alarm geschlagen?!?
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:36 Uhr
Also wenn ein Scanner Alarm schlägt, ist es in der Regel eh zu spät. Da der Wurm dann bereits im Netz ist.

Und wenn ich die Posts so lese, scannt ihr online. Oder?

Wie gesagt, unterschätzt das Thema nicht.
Ich kann leider hier keine direkten Tipps geben, da unsere Kunden diese Informationen kostenpflichtig erhalten. Da dies ein von den Herstellern nicht supporteter Zustand ist. Daher auch Kostenpflichtig.

Ein Tipp vorweg. Belest Euch bei dem, was ihr tut.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:54 Uhr
@deeboo

Wenn bei uns zb. ein USB-Stick angeschlossen wird und er mit einer Confickervariante infiziert ist werden die entsprechenden Files entweder geblockt, gelöscht und/oder in Quarantäne verschoben. Ich wuesste nicht was daran zu spaet sein sollte.

Hier noch eine Link zum McAfee Stinger um die Probleme mit Conficker zu loesen: http://vil.nai.com/vil/averttools.aspx

Andere Frage.... wie kommt ihr eigentlich darauf das es sich um Conficker handelt?
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 17:07 Uhr
Hi Leute,

Der Wurm war auf einem PC welcher zwar in unserem IP Kreis ist jedoch nicht in der Domäne angemeldet ist. Der Rechner hat noch Windows 2000 drauf... Mit einem McAffee Tool (McAfee Conficker Detection Tool) konnte ich die IP's abscannen und dann wurde der Wurm entdeckt.

Den Stinger habe ich auf CD gebrannt und dann den Wurm entfernt. Scheint alles funktioniert zu haben... oder muss ich mir noch Sorgen machen?

Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 18:29 Uhr
Hallo!
Wir hatten auch mit dem Wurm zu kämpfen und haben den Wurm mehr oder weniger erfolgreich entfernt (wenn man von entfernen reden kann).
Unser Antiviren Programm (Norton) hat auch nichts gemeldet. Wir hatten das Tool von Microsoft laufen und direkt bei der RTVScan.exe hat das Tool den Wurm angezeigt
und im Abschlussbericht gesagt, dass kein Virus gefunden wurde. Unsere Vermutung ist, dass das Tool davon ausgeht, das ein ein Antivirusprogramm nicht infiziert sein kann.
Bei uns war es aber so.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 18:44 Uhr
McAfee erkennt den alle Variante jetzt zuverlässig. Es ist natürlich dumm gelaufen wenn der AV-Schutz der Nodes und der Patchlevel nicht 100 % ig ist.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Von wo aus wurde mein Konto gesperrt (4)

Frage von blade999 zum Thema Windows Userverwaltung ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...

Windows Server
gelöst Eventlog gesperrtes Konto, Konto als Parameter übergeben (10)

Frage von pablovic zum Thema Windows Server ...

Windows Server
gelöst IE11 zeigt Zertifikate irrtümlich als gesperrt an (2)

Frage von emeriks zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
gelöst SSL Zertifikat für HTTPS (34)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (22)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...