Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Failure Audit Event ID 577 unter Windows Server 2003

Frage Microsoft Windows Server

Mitglied: sartori

sartori (Level 1) - Jetzt verbinden

23.07.2009, aktualisiert 14:20 Uhr, 6765 Aufrufe, 4 Kommentare

Im Security-Log des Servers erscheint im Sekundentakt der Event ID 577: Failure Audit, ausgelöst durch Network Service.

Hallo zusammen

Seit einigen Tagen bin ich auf der Suche nach der Ursache für folgendes Phänomen:

Praktisch im Sekundentakt erscheinen im Windows Server 2003 Security-Log Fehlermeldungen mit Event-ID 577 (siehe Pic1).

1abf037714461e37a7dbcbfcbc394f6d-pic1 - Klicke auf das Bild, um es zu vergrößern

Inzwischen habe ich festgestellt, dass das Problem im Zusammenhang mit MOM Agent 2005 stehen muss, denn stoppe ich diesen Service, hört die Protokollierung des erwähnten Events augenblicklich auf. Ich habe schon versucht, den Agent zu de-/neuinstallieren. Keine Veränderung. Auch das Anpassen der Zugriffsrechte auf Filesystem-Ebene hat nichts gebraucht. Allmählich bin ich mit meinem Latein am Ende.

Meine Frage an Euch ist deshalb:

Kennt Jemand eine Freeware, mit der ich prüfen kann, welcher Prozess bzw. welcher Vorgang hier die Fehlerquelle sein könnte? Mit ProcessExplorer von Sysinternals bin ich nicht weitergekommen.

Vielen Dank für Eure Hilfe.

Viele Grüsse
Andreas
Mitglied: MiniStrator
23.07.2009 um 15:48 Uhr
Versuch doch mal den Agent als Local System starten zu lassen statt als network service. Vielleicht hilfts ja

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
23.07.2009 um 16:12 Uhr
Hallo MiniStrator

Vielen Dank für die Antwort.

Der MOM-Agent läuft bereits unter "Local System"; ich vermute, dass das Auftauchen des Network-Services im Zusammenhang mit einem abhängigen Dienst steht. RPC beispielsweise läuft unter Network Service. Ich habe auch schon sämtliche Services, welche im Kontext des "Network Service" laufen, deaktiviert (ausser RPC). Ohne Erfolg. Sobald ich aber MOM deaktiviere, verschwindet der Event 577.

Es ist sehr schwierig, die Fehlerquelle einzugrenzen; und ich setze Hoffnungen in ein Tool, welches mir die Falschzugriffe aufzeigen könnte.

Gruss,
Andreas
Bitte warten ..
Mitglied: MiniStrator
23.07.2009 um 17:03 Uhr
Hallo Andreas,

hab hier noch was:

<Zitat>
Einsetzen als Teil des Betriebssystems
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTcbPrivilege. Das Benutzerkonto,
von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf
hinweisen, dass ein Benutzer versucht hat, seine Sicherheitsrechte zu erhöhen, indem er als Teil des
Betriebssystems handelt. Ein Beispiel hierfür ist die GetAdmin-Attacke, bei der ein Benutzer versucht, sein
Konto der Administratorgruppe hinzuzufügen und deren Rechte zu nutzen. Einträge für dieses Ereignis sollten
einzig das Systemkonto und Dienstkonten mit diesem Benutzerrecht betreffen

und

Einsetzen als Teil des
Betriebssystems
(SeTcbPrivilege)

Ermöglicht einem Prozess die Authentifizierung als Benutzer und somit den Zugriff auf die für den Benutzer zugänglichen Ressourcen. Nur einfache Authentifizierungsdienste sollten dieses Recht erfordern.
Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen beschränkt, da der aufrufende Prozess anfordern kann, dass weitere willkürliche Zugriffe in den Zugriffstoken aufgenommen werden. Weitaus wichtiger ist, dass der aufrufende Prozess einen anonymen Token aufbauen kann, der alle Zugriffe bietet. Darüber hinaus stellt der anonyme Token keine primäre Identität bereit, um Ereignisse im Überwachungsprotokoll zu verfolgen.
Das Konto "LocalSystem" verwendet dieses Privileg standardmäßig.
</Zitat> (Quelle Microsoft)

Zu finden wäre das in den lokalen Sicherheitsrichtlinien: Security Settings - Local Policies - User Rights assignment - Act as a part of the operating system

Wäre evtl nen Versuch wert, hier Network Service reinzunehmen. Es scheint ja network Service zu sein der genau damit nicht durchkommt

Tool kenne ich leider keines, Process Explorer hast du ja schon probiert

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
24.07.2009 um 09:52 Uhr
Guten Morgen, MiniStrator

Vielen Dank für Deine Antwort und die damit verbundenen Bemühungen.

Deine Idee hat sehr vielversprechend geklungen. Ich habe den Network-Service in die entsprechende Gruppe "Act as a part of the operating system" eingetragen und das System sicherheitshalber neu gestartet. Leider erscheint der Fehler noch immer im Eventlog.

Ich werde somit weitersuchen, was hier das Problem sein könnte. Vielleicht kennt ja doch noch Jemand ein Hilfsmittel, um den Grund für die Failure Audits ausfindig zu machen. Mir gehen nämlich echt die Ideen aus

Nochmals vielen Dank für Deine Hilfe!!!

Gruss
Andreas
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...