Frage - Sicherheit - Windows 2008 Webserver

[Karadenizzz]

Hallo,

Ich hab euch eine Frage..

Ich bekomme jede Sekunde min. 10 Ereignise in Windows Protokolle - Sicherheit und da steht folgendes..

Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SERVER$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Anmeldetyp:			8

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		Administrator
	Kontodomäne:		\

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xc000006d
	Unterstatus::		0xc0000064

Prozessinformationen:
	Aufrufprozess-ID:	0x570
	Aufrufprozessname:	C:\Windows\System32\svchost.exe

Netzwerkinformationen:
	Arbeitsstationsname:	SERVER
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Was heisst das für mich ? Kann ich das irgendwie beheben ?
Ich bedanke mich im vorraus...

 

[blupp1]

Hast du vllt. irgendeinen Task geplant?

 

[Karadenizzz]

Ja,

Plesk läuft auf mein System..

 

[silentiumest]

Dann gib es da wohl jemanden, der auch einen Server haben will

Ich habe bei mir den Port von der Remotedesktopverbindung verlegt. Hat geholfen.

 

[M-X]

Ich würde sagen da versucht Jemand sich einzuloggen.
ändern des RDP Ports kann da zb helfen.

 

[Karadenizzz]

Port hab ich schon geändert..
Das kann doch nicht sein das er sich in der Sekunde 10mal anmeldet bzw. versucht sich anzumelden..

Ich hab schon über 100000000 Ereignise in der Sekunde 38mal ?
Das muss doch was anderes sein ? So viele Ereignise pro Sekunde 38mal ? Immer das selbe Inhalt ?

Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen.

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Administrator
Arbeitsstation: SERVER
Fehlercode: 0xc0000064

Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3e7

Anmeldetyp: 8

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Administrator
Kontodomäne: \

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc0000064

Prozessinformationen:
Aufrufprozess-ID: 0x570
Aufrufprozessname: C:\Windows\System32\svchost.exe

Netzwerkinformationen:
Arbeitsstationsname: SERVER
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

 

[blupp1]

Da will sich niemand einloggen, weil keine IP Adresse dran ist...

svchost.exe möchte etwas ausführen unter Administrator, aber irgendwo stimmt dann das Passwort nicht.

 

[M-X]

Aufrufprozessname: C:\Windows\System32\svchost.exe

vll ein Dienst oder ähnliches der unter dem falschen pw ausgeführt werden will?

 

[Karadenizzz]

Wie kann ich es rausgriegen ? Welches Dienst zugreifen will ?
Bzw. wie kann ich das beheben ?