SBS2K3 mit ISA 2K4: Anmeldeversuche (via RWW) protokollieren

28/02/2008 - 10:30 von Max Habermehl | Report spam
Hallo zusammen,

nachdem es diesbezüglich bei unseren Kunden lange Zeit ruhig war, mehren
sich nun wieder Anmeldeversuche per Remote Web Workplace.
Ein typischer Eintrag im Windows-Sicherheitslog sieht wie folgt aus:

Security, Ereigniskennung: 529, Letztes Vorkommen: 24.02.2008 13:32,
Vorkommnisse insgesamt: 155 *

Fehlgeschlagene Anmeldung:
Grund:Unbekannter Benutzername oder falsches Kennwort
Benutzername:admin
Domàne:
Anmeldetyp:3
Anmeldevorgang:Advapi
Authentifizierungspaket:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation:KUNDEN-SBS
Aufruferbenutzername:KUNDEN-SBS$
Aufruferdomàne:KUNDENDOMÄNE
Aufruferanmeldekennung:(0x0,0x3E7)
Aufruferprozesskennung:2072
Übertragene Dienste:-
Quellnetzwerkadresse:-
Quellport:-

Wir möchten nun mittels ISA die Ursprungs-IPs dieser Anmeldeversuche
loggen - wie stellen wir das am besten an, genauer gefragt: Welche
Protokollierungs-Filtereinstellungen bieten sich hierfür an, um möglichst
zielgenau die benötigten Infos zu erhalten, ohne ein riesiges Log auswerten
zu müssen?

Besten Dank im voraus für Eure Hilfe,

Max
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
28/02/2008 - 10:46 | Warnen spam
Hallo Max,

der RWW wird über eine Website aufgerufen, somit brauchst du im ISA hierfür
eine Webserververöffentlichung. Wenn du in der Protokollierung angibst Regel
= "Veröffentlichungsregel für RWW" und als Zeitraum z.B. "Letzte 24 Stunden"
auswàhlst, dann solltest du die original IP sehen.

Alternativ kannst du in der Regel die original IP an den Webserver
weiterleiten lassen, dann taucht diese auch in den Logfiles vom ISS auf.

Gruß

Christian

Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Max Habermehl" schrieb im Newsbeitrag
news:
Hallo zusammen,

nachdem es diesbezüglich bei unseren Kunden lange Zeit ruhig war, mehren
sich nun wieder Anmeldeversuche per Remote Web Workplace.
Ein typischer Eintrag im Windows-Sicherheitslog sieht wie folgt aus:

Security, Ereigniskennung: 529, Letztes Vorkommen: 24.02.2008 13:32,
Vorkommnisse insgesamt: 155 *

Fehlgeschlagene Anmeldung:
Grund:Unbekannter Benutzername oder falsches Kennwort
Benutzername:admin
Domàne:
Anmeldetyp:3
Anmeldevorgang:Advapi
Authentifizierungspaket:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Name der Arbeitsstation:KUNDEN-SBS
Aufruferbenutzername:KUNDEN-SBS$
Aufruferdomàne:KUNDENDOMÄNE
Aufruferanmeldekennung:(0x0,0x3E7)
Aufruferprozesskennung:2072
Übertragene Dienste:-
Quellnetzwerkadresse:-
Quellport:-

Wir möchten nun mittels ISA die Ursprungs-IPs dieser Anmeldeversuche
loggen - wie stellen wir das am besten an, genauer gefragt: Welche
Protokollierungs-Filtereinstellungen bieten sich hierfür an, um möglichst
zielgenau die benötigten Infos zu erhalten, ohne ein riesiges Log
auswerten zu müssen?

Besten Dank im voraus für Eure Hilfe,

Max

Ähnliche fragen