Regelmäßige Anmeldung auf deaktiviertes Konto.

24/02/2009 - 09:29 von Christian Stelte | Report spam
Hallo!

Folgendes Scenario:

SBS 2003 und W2k3 Terminalserver, beide auf dem Stand der Dinge, was Updates
angeht.
Der SBS protokolliert seit rund einer Woche, im Abstand von 1 Stunde und 48
Minuten, immer 6 Anmeldeversuche dieser Art:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 531
Datum: 24.02.2009
Zeit: 01:30:52
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: <Name des SBS Servers>
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto ist gegenwàrtig deaktiviert
Benutzername: <Kontoname des Benutzers>
Domàne: <Name der SBS-Domàne>
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: <Name des Terminalservers>
Aufruferbenutzername: -
Aufruferdomàne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: <IP des Terminalservers>
Quellport: 2754

Der Gag an der Sache ist, das dieser Benutzer nie Zugriff auf den
Terminalserver hatte (weil er es nicht brauchte) und zudem schon seit rund
einem 3/4 Jahr nicht mehr dort arbeitet. Seit dem ist das Konto auch
deaktiviert.

Wie kommt der Terminalserver auf den Trichter sich nun mit diesem Konto
anzumelden?

MfG
Chris
 

Lesen sie die antworten

#1 Udo Gruner
24/02/2009 - 09:59 | Warnen spam
Hallo Christian,

Der Gag an der Sache ist, das dieser Benutzer nie Zugriff auf den
Terminalserver hatte (weil er es nicht brauchte) und zudem schon seit rund
einem 3/4 Jahr nicht mehr dort arbeitet. Seit dem ist das Konto auch
deaktiviert.



Dies ist unerheblich. Es findet eine versuchte Anmeldung mit diesem Konto
statt. Ob dies manuell geschieht, ein Dienst ist oder in einer RDP
Verbindungsdatei hinterlegt wurde müsste man jetzt herausfinden.

Viele Grüße

Udo

Ähnliche fragen