Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Failure Audit Event ID 577 unter Windows Server 2003

Frage Microsoft Windows Server

Mitglied: sartori

sartori (Level 1) - Jetzt verbinden

23.07.2009, aktualisiert 14:20 Uhr, 6791 Aufrufe, 4 Kommentare

Im Security-Log des Servers erscheint im Sekundentakt der Event ID 577: Failure Audit, ausgelöst durch Network Service.

Hallo zusammen

Seit einigen Tagen bin ich auf der Suche nach der Ursache für folgendes Phänomen:

Praktisch im Sekundentakt erscheinen im Windows Server 2003 Security-Log Fehlermeldungen mit Event-ID 577 (siehe Pic1).

1abf037714461e37a7dbcbfcbc394f6d-pic1 - Klicke auf das Bild, um es zu vergrößern

Inzwischen habe ich festgestellt, dass das Problem im Zusammenhang mit MOM Agent 2005 stehen muss, denn stoppe ich diesen Service, hört die Protokollierung des erwähnten Events augenblicklich auf. Ich habe schon versucht, den Agent zu de-/neuinstallieren. Keine Veränderung. Auch das Anpassen der Zugriffsrechte auf Filesystem-Ebene hat nichts gebraucht. Allmählich bin ich mit meinem Latein am Ende.

Meine Frage an Euch ist deshalb:

Kennt Jemand eine Freeware, mit der ich prüfen kann, welcher Prozess bzw. welcher Vorgang hier die Fehlerquelle sein könnte? Mit ProcessExplorer von Sysinternals bin ich nicht weitergekommen.

Vielen Dank für Eure Hilfe.

Viele Grüsse
Andreas
Mitglied: MiniStrator
23.07.2009 um 15:48 Uhr
Versuch doch mal den Agent als Local System starten zu lassen statt als network service. Vielleicht hilfts ja

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
23.07.2009 um 16:12 Uhr
Hallo MiniStrator

Vielen Dank für die Antwort.

Der MOM-Agent läuft bereits unter "Local System"; ich vermute, dass das Auftauchen des Network-Services im Zusammenhang mit einem abhängigen Dienst steht. RPC beispielsweise läuft unter Network Service. Ich habe auch schon sämtliche Services, welche im Kontext des "Network Service" laufen, deaktiviert (ausser RPC). Ohne Erfolg. Sobald ich aber MOM deaktiviere, verschwindet der Event 577.

Es ist sehr schwierig, die Fehlerquelle einzugrenzen; und ich setze Hoffnungen in ein Tool, welches mir die Falschzugriffe aufzeigen könnte.

Gruss,
Andreas
Bitte warten ..
Mitglied: MiniStrator
23.07.2009 um 17:03 Uhr
Hallo Andreas,

hab hier noch was:

<Zitat>
Einsetzen als Teil des Betriebssystems
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTcbPrivilege. Das Benutzerkonto,
von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf
hinweisen, dass ein Benutzer versucht hat, seine Sicherheitsrechte zu erhöhen, indem er als Teil des
Betriebssystems handelt. Ein Beispiel hierfür ist die GetAdmin-Attacke, bei der ein Benutzer versucht, sein
Konto der Administratorgruppe hinzuzufügen und deren Rechte zu nutzen. Einträge für dieses Ereignis sollten
einzig das Systemkonto und Dienstkonten mit diesem Benutzerrecht betreffen

und

Einsetzen als Teil des
Betriebssystems
(SeTcbPrivilege)

Ermöglicht einem Prozess die Authentifizierung als Benutzer und somit den Zugriff auf die für den Benutzer zugänglichen Ressourcen. Nur einfache Authentifizierungsdienste sollten dieses Recht erfordern.
Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen beschränkt, da der aufrufende Prozess anfordern kann, dass weitere willkürliche Zugriffe in den Zugriffstoken aufgenommen werden. Weitaus wichtiger ist, dass der aufrufende Prozess einen anonymen Token aufbauen kann, der alle Zugriffe bietet. Darüber hinaus stellt der anonyme Token keine primäre Identität bereit, um Ereignisse im Überwachungsprotokoll zu verfolgen.
Das Konto "LocalSystem" verwendet dieses Privileg standardmäßig.
</Zitat> (Quelle Microsoft)

Zu finden wäre das in den lokalen Sicherheitsrichtlinien: Security Settings - Local Policies - User Rights assignment - Act as a part of the operating system

Wäre evtl nen Versuch wert, hier Network Service reinzunehmen. Es scheint ja network Service zu sein der genau damit nicht durchkommt

Tool kenne ich leider keines, Process Explorer hast du ja schon probiert

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
24.07.2009 um 09:52 Uhr
Guten Morgen, MiniStrator

Vielen Dank für Deine Antwort und die damit verbundenen Bemühungen.

Deine Idee hat sehr vielversprechend geklungen. Ich habe den Network-Service in die entsprechende Gruppe "Act as a part of the operating system" eingetragen und das System sicherheitshalber neu gestartet. Leider erscheint der Fehler noch immer im Eventlog.

Ich werde somit weitersuchen, was hier das Problem sein könnte. Vielleicht kennt ja doch noch Jemand ein Hilfsmittel, um den Grund für die Failure Audits ausfindig zu machen. Mir gehen nämlich echt die Ideen aus

Nochmals vielen Dank für Deine Hilfe!!!

Gruss
Andreas
Bitte warten ..
Ähnliche Inhalte
Windows Server
Event ID: 1003 - Windows Server 2012 R2 (1)

Frage von peterpa zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2003 unter HyperV 2012 R2: Keine Maus (2)

Frage von StefanMUC zum Thema Windows Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Server-Hardware
Einem Stromausfall entgegen wirken (22)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Server-Hardware ...

Festplatten, SSD, Raid
PC stellt nach dem Bios ab (20)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows 7
Freeware MSI Tool (13)

Frage von uridium69 zum Thema Windows 7 ...

DSL, VDSL
gelöst Ständige Störungen - Internet (12)

Frage von gamerff zum Thema DSL, VDSL ...