Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Failure Audit Event ID 577 unter Windows Server 2003

Frage Microsoft Windows Server

Mitglied: sartori

sartori (Level 1) - Jetzt verbinden

23.07.2009, aktualisiert 14:20 Uhr, 6810 Aufrufe, 4 Kommentare

Im Security-Log des Servers erscheint im Sekundentakt der Event ID 577: Failure Audit, ausgelöst durch Network Service.

Hallo zusammen

Seit einigen Tagen bin ich auf der Suche nach der Ursache für folgendes Phänomen:

Praktisch im Sekundentakt erscheinen im Windows Server 2003 Security-Log Fehlermeldungen mit Event-ID 577 (siehe Pic1).

1abf037714461e37a7dbcbfcbc394f6d-pic1 - Klicke auf das Bild, um es zu vergrößern

Inzwischen habe ich festgestellt, dass das Problem im Zusammenhang mit MOM Agent 2005 stehen muss, denn stoppe ich diesen Service, hört die Protokollierung des erwähnten Events augenblicklich auf. Ich habe schon versucht, den Agent zu de-/neuinstallieren. Keine Veränderung. Auch das Anpassen der Zugriffsrechte auf Filesystem-Ebene hat nichts gebraucht. Allmählich bin ich mit meinem Latein am Ende.

Meine Frage an Euch ist deshalb:

Kennt Jemand eine Freeware, mit der ich prüfen kann, welcher Prozess bzw. welcher Vorgang hier die Fehlerquelle sein könnte? Mit ProcessExplorer von Sysinternals bin ich nicht weitergekommen.

Vielen Dank für Eure Hilfe.

Viele Grüsse
Andreas
Mitglied: MiniStrator
23.07.2009 um 15:48 Uhr
Versuch doch mal den Agent als Local System starten zu lassen statt als network service. Vielleicht hilfts ja

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
23.07.2009 um 16:12 Uhr
Hallo MiniStrator

Vielen Dank für die Antwort.

Der MOM-Agent läuft bereits unter "Local System"; ich vermute, dass das Auftauchen des Network-Services im Zusammenhang mit einem abhängigen Dienst steht. RPC beispielsweise läuft unter Network Service. Ich habe auch schon sämtliche Services, welche im Kontext des "Network Service" laufen, deaktiviert (ausser RPC). Ohne Erfolg. Sobald ich aber MOM deaktiviere, verschwindet der Event 577.

Es ist sehr schwierig, die Fehlerquelle einzugrenzen; und ich setze Hoffnungen in ein Tool, welches mir die Falschzugriffe aufzeigen könnte.

Gruss,
Andreas
Bitte warten ..
Mitglied: MiniStrator
23.07.2009 um 17:03 Uhr
Hallo Andreas,

hab hier noch was:

<Zitat>
Einsetzen als Teil des Betriebssystems
Suchen Sie nach der Ereignis-ID 577 oder 578 mit dem Zugriffsrecht SeTcbPrivilege. Das Benutzerkonto,
von dem das Recht verwendet wurde, ist in den Ereignisdetails angegeben. Dieses Ereignis kann darauf
hinweisen, dass ein Benutzer versucht hat, seine Sicherheitsrechte zu erhöhen, indem er als Teil des
Betriebssystems handelt. Ein Beispiel hierfür ist die GetAdmin-Attacke, bei der ein Benutzer versucht, sein
Konto der Administratorgruppe hinzuzufügen und deren Rechte zu nutzen. Einträge für dieses Ereignis sollten
einzig das Systemkonto und Dienstkonten mit diesem Benutzerrecht betreffen

und

Einsetzen als Teil des
Betriebssystems
(SeTcbPrivilege)

Ermöglicht einem Prozess die Authentifizierung als Benutzer und somit den Zugriff auf die für den Benutzer zugänglichen Ressourcen. Nur einfache Authentifizierungsdienste sollten dieses Recht erfordern.
Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen beschränkt, da der aufrufende Prozess anfordern kann, dass weitere willkürliche Zugriffe in den Zugriffstoken aufgenommen werden. Weitaus wichtiger ist, dass der aufrufende Prozess einen anonymen Token aufbauen kann, der alle Zugriffe bietet. Darüber hinaus stellt der anonyme Token keine primäre Identität bereit, um Ereignisse im Überwachungsprotokoll zu verfolgen.
Das Konto "LocalSystem" verwendet dieses Privileg standardmäßig.
</Zitat> (Quelle Microsoft)

Zu finden wäre das in den lokalen Sicherheitsrichtlinien: Security Settings - Local Policies - User Rights assignment - Act as a part of the operating system

Wäre evtl nen Versuch wert, hier Network Service reinzunehmen. Es scheint ja network Service zu sein der genau damit nicht durchkommt

Tool kenne ich leider keines, Process Explorer hast du ja schon probiert

Gruß MiniStrator
Bitte warten ..
Mitglied: sartori
24.07.2009 um 09:52 Uhr
Guten Morgen, MiniStrator

Vielen Dank für Deine Antwort und die damit verbundenen Bemühungen.

Deine Idee hat sehr vielversprechend geklungen. Ich habe den Network-Service in die entsprechende Gruppe "Act as a part of the operating system" eingetragen und das System sicherheitshalber neu gestartet. Leider erscheint der Fehler noch immer im Eventlog.

Ich werde somit weitersuchen, was hier das Problem sein könnte. Vielleicht kennt ja doch noch Jemand ein Hilfsmittel, um den Grund für die Failure Audits ausfindig zu machen. Mir gehen nämlich echt die Ideen aus

Nochmals vielen Dank für Deine Hilfe!!!

Gruss
Andreas
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Kernel event ID 41
gelöst Frage von HeinrichMWindows Server1 Kommentar

Guten Morgen zusammen, ich habe einen Windows Kernel event ID 41 bei einer Hyper-V Maschine. Natürlich habe ich auch ...

Windows Server
Event ID: 1003 - Windows Server 2012 R2
Frage von peterpaWindows Server1 Kommentar

Hallo, wie der Name schon sagt wird andauernt (stündlich 2x) ein Fehler in den Eventlog geschrieben aber finde leider ...

Exchange Server
Exchange Server Event ID 4625
gelöst Frage von Daniel.WenzelExchange Server7 Kommentare

Hallo zusammen, ich habe derzeit ein Problem auf dem Exchange Server. Seit mehreren Tagen bekommen wir aller 20 Minuten ...

Windows Server
Event ID 78
Frage von rocco61Windows Server1 Kommentar

Guten Morgen zusammen, habe auf dem Server 2012 R2 eine sidebyside Fehlermeldung, event id 78. Bei eventid.net werde ich ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 9 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 13 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...