Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows-Protokoll-Sicherheit hat viele Überwachung erfolgreich Meldungen innerhalb kürzerster Zeit

Frage Microsoft Windows Server

Mitglied: Radiohead

Radiohead (Level 1) - Jetzt verbinden

27.05.2009, aktualisiert 09:54 Uhr, 17155 Aufrufe, 1 Kommentar

Windows SBS-2008 erhält innerhalb kürzerster Zeit eine Menge an "Überwachung erfolgreich" Meldungen (ca. 100.000/Tag). Dabei handelt es sich um meistens um 4 sich wiederholende Meldungen. Ich danke für Tips welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.

Folgende Ereignis-IDs tauchen innerhalb kürzerster Zeit in folgender Reihenfolge auf: 4672, 4769, 4624, 4634

ID 4672
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
ID 4769
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Kerberos-Dienstticket wurde angefordert.
ID 4624
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde erfolgreich angemeldet.
ID 4634
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde abgemeldet.
Detailprotokoll:


Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351826c

Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.409Z" />
<EventRecordID>5639291</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVERNAME$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x351826c</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>


Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Kerberos-Dienstticket wurde angefordert.

Kontoinformationen:
Kontoname: SERVERNAME$@DOMAIN.LOCAL
Kontodomäne: DOMAIN.LOCAL
Anmelde-GUID: {21042E5B-8152-9C52-187A-1274656FDF8F}

Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: DOMAIN\krbtgt

Netzwerkinformationen:
Clientadresse: ::1
Clientport: 0

Weitere Informationen:
Ticketoptionen: 0x60810010
Ticketverschlüsselungstyp: 0x17
Fehlercode: 0x0
Übertragene Dienste: -

Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die Ressource, auf die der Zugriff angefordert wurde.

Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.

Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.406Z" />
<EventRecordID>5639290</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="2872" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">SERVERNAME$@DOMAIN.LOCAL</Data>
<Data Name="TargetDomainName">DOMAIN.LOCAL</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-95688018-1014954624-2888060996-502</Data>
<Data Name="TicketOptions">0x60810010</Data>
<Data Name="TicketEncryptionType">0x17</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">0</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{21042E5B-8152-9C52-187A-1274656FDF8F}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.403Z" />
<EventRecordID>5639289</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="6092" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>

Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmelde-GUID: {E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::4f31:226e:9258:a5eb
Quellport: 39230

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.399Z" />
<EventRecordID>5639288</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::4f31:226e:9258:a5eb</Data>
<Data Name="IpPort">39230</Data>
</EventData>
</Event>
Mitglied: MartinC
14.01.2013 um 20:13 Uhr
Ich habe den selben Effekt - haben Sie eine Lösung gefunden?

Beste Grüße,
Martin Cargnelli
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...