Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzerkonten in einer Domäne sind immer wieder gesperrt

Frage Microsoft Windows Userverwaltung

Mitglied: Bloodred

Bloodred (Level 1) - Jetzt verbinden

11.06.2009, aktualisiert 11:17 Uhr, 14075 Aufrufe, 22 Kommentare

Hallo alle miteinander,

Wir haben in unserer Domäne massive Probleme mit den Benutzerkonten. Alle Benutzerkonten (inkl. Admins) werden ständig von unseren Domänencontroller gesperrt, teilweise sind die Benutzer gar nicht im Unternehmen (z.B. Urlaub). Wir haben 6 Filialen und alle Server in den Filialen schon mehrfach neu gestartet. Leider ohne Erfolg.
Langsam gehen uns die Ideen aus, deshalb hoffe ich dass uns hier jemand helfen kann. Wenn ihr noch weitere Info's braucht dann fragt mich bitte.


Vielen Dank !


Gruß Frank
Mitglied: noodyn
11.06.2009 um 11:22 Uhr
Bei solchen Problemen solltest du mal schaun ob du im Eventlog der / des Server(s) Einträge findest, welche annormal sind.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:22 Uhr
Ja was sagen denn die Eventlogs? Werden die Konten wegen falsch eingabe des Passwortes gesperrt? Speichert ihr den Benutzernamen oder bleibt das Feld leer wenn der Nutzer sich abgemeldet hat?

Fragen ueber Fragen....
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:27 Uhr
Hi,

Erstmal Danke für die schnelle Hilfe. Genau die Konten werden wegen falscher Passwörter gesperrt. Das kuriose ist das die Benutzer teilweise gar nicht vor Ort sind. Wenn ein Benutzer sich am PC abmeldet bleibt der Name drin stehen. (oder habe ich das jetzt falsch verstanden?)
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:32 Uhr
Das koennte zum Beispiel eine Fehlerquelle sein. Es gibt nutzer die schauen gar nach ob ihr Benutzername eingetragen ist. Damit sperren sie natuerlich dann das Konto ihrer lieben Kollegen.

Meiner Ansicht nach ist das Sperren von Nutzeraccounts nach drei Fehleingaben ein Risiko. Eine DOS-Attacke laesst sich so sehr einfach durchfuehren.

Mein Vorschlag fuer dich waere einmal den letzten Benutzernamen grundsaetzlich nicht im Anmeldefenster zu speichern.

Zusaetzlich wuerde ich die Konten nach falscher Passworteingabe nach 15 min wieder automatisch entsperren lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:40 Uhr
Hi Gagarin,

Zu Punkt 1: Wäre eine Möglichkeit, dann wären aber doch nicht alle Konten gesperrt (vor allem nicht die Domänen Administrator Konten)

Kann man vielleicht wirklich von einer Brute Force Attacke sprechen? Wenn ja was kann man da machen? Am Montag war auch Patchday von MS, könnte da vielleicht was im ADS kaputt gegangen sein?


Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:45 Uhr
Hallo!

Diese Probleme hatten wir bei uns in der Firma auch gehabt.
Bei uns war es ein Virus.
Ich würde einfach mal nur zur Sicherheit das Tool von Microsoft (Tool zum entfernen bösartiger Software) über die Rechner (Server) laufen lassen.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 11:46 Uhr
Ok wird gemacht!

Vielen Dank!
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 11:50 Uhr
Kann aber ewig dauern bis das Tool durchgelaufen ist. Also Geduld
haben.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 11:59 Uhr
Ich bin davon ausgegangen das Ihr schon ein Antivirenscan durchgefuehrt hattet.

Um zu sagen ob es sich dabei um ein Brute Force attacke handelt gibts einfach zu wenig informationen
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:06 Uhr
Unser Virenscanner (MacAffee) hatte nichts gefunden. Das Microsoft Tool läuft gerade.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 12:54 Uhr
Das Microsoft Tool zum entfernen bösartiger Software hat leider nichts gefunden.


Noch jemand eine Idee?
Bitte warten ..
Mitglied: riesenhil
11.06.2009 um 12:58 Uhr
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße
Bitte warten ..
Mitglied: Cubic83
11.06.2009 um 15:19 Uhr
Zitat von riesenhil:
Hi,

kann aber auch sein, dass jmd. noch auf nem Terminalserver angemeldet
ist und dann auf seinem Client das
Kennwort geändert wurde.
So etwas hatten wir mal. War auch nicht einfach rauszufinden.

Grüße

Was würde das bewirken? Verstehe nicht ganz.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 15:24 Uhr
Ich moechte ja nicht nerven aber ich denke mal ein Blick in die Eventlogs waere wirklich hilfreich.
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 15:43 Uhr
Hi alle miteinander,

Es war offensichtlich der Wurm "Conficker, wir sind gerade dabei ihn zu entfernen.Danke für eure Hilfe. Ich melde mich nochmal wenn die Sache gegessen ist.

Gruß Frank
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:00 Uhr
Wie ihr vorgehen müsst wisst ihr oder?

Das Ding ist hässlich und nicht so ohne weiteres zu entfernen.

LG
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:07 Uhr
Warum hat McAfee nicht Alarm geschlagen?!?
Bitte warten ..
Mitglied: deeboo
11.06.2009 um 16:36 Uhr
Also wenn ein Scanner Alarm schlägt, ist es in der Regel eh zu spät. Da der Wurm dann bereits im Netz ist.

Und wenn ich die Posts so lese, scannt ihr online. Oder?

Wie gesagt, unterschätzt das Thema nicht.
Ich kann leider hier keine direkten Tipps geben, da unsere Kunden diese Informationen kostenpflichtig erhalten. Da dies ein von den Herstellern nicht supporteter Zustand ist. Daher auch Kostenpflichtig.

Ein Tipp vorweg. Belest Euch bei dem, was ihr tut.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 16:54 Uhr
@deeboo

Wenn bei uns zb. ein USB-Stick angeschlossen wird und er mit einer Confickervariante infiziert ist werden die entsprechenden Files entweder geblockt, gelöscht und/oder in Quarantäne verschoben. Ich wuesste nicht was daran zu spaet sein sollte.

Hier noch eine Link zum McAfee Stinger um die Probleme mit Conficker zu loesen: http://vil.nai.com/vil/averttools.aspx

Andere Frage.... wie kommt ihr eigentlich darauf das es sich um Conficker handelt?
Bitte warten ..
Mitglied: Bloodred
11.06.2009 um 17:07 Uhr
Hi Leute,

Der Wurm war auf einem PC welcher zwar in unserem IP Kreis ist jedoch nicht in der Domäne angemeldet ist. Der Rechner hat noch Windows 2000 drauf... Mit einem McAffee Tool (McAfee Conficker Detection Tool) konnte ich die IP's abscannen und dann wurde der Wurm entdeckt.

Den Stinger habe ich auf CD gebrannt und dann den Wurm entfernt. Scheint alles funktioniert zu haben... oder muss ich mir noch Sorgen machen?

Gruß Frank
Bitte warten ..
Mitglied: gnom379
11.06.2009 um 18:29 Uhr
Hallo!
Wir hatten auch mit dem Wurm zu kämpfen und haben den Wurm mehr oder weniger erfolgreich entfernt (wenn man von entfernen reden kann).
Unser Antiviren Programm (Norton) hat auch nichts gemeldet. Wir hatten das Tool von Microsoft laufen und direkt bei der RTVScan.exe hat das Tool den Wurm angezeigt
und im Abschlussbericht gesagt, dass kein Virus gefunden wurde. Unsere Vermutung ist, dass das Tool davon ausgeht, das ein ein Antivirusprogramm nicht infiziert sein kann.
Bei uns war es aber so.
Bitte warten ..
Mitglied: Gagarin
11.06.2009 um 18:44 Uhr
McAfee erkennt den alle Variante jetzt zuverlässig. Es ist natürlich dumm gelaufen wenn der AV-Schutz der Nodes und der Patchlevel nicht 100 % ig ist.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Windows Server
gelöst SBS 2011 - Domäne (7)

Frage von MiSt zum Thema Windows Server ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...