---

Geschrieben von böhme am 31.10.2004 um 11:53:

  anonyme Anmeldung beim Hochfahren von XP im Netzwerk?

Hallo leute

ich benutze Win XP Sp2 und habe mal vor ein paar Tagen die Sicherheitsrichtlinien für Anmeldungen geändert dort habe ich eingetragen das mir sowohl erfogreiche als auch fehlgeschalgende Anmeldungen im Ereignisprotokol angezeigt werden und da stieß ich auch folgenden Eintrag:

An/Abmeldung Ereignis 540 Anonymos-Anmeldung
unter Eigenschaften dann:
Benutzer:NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:Maria

Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0x1567A)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname:
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}


ich habe gehört das es in Zusammenhang mit NTLmSsP Sicherheitslücken gab bei
NT 4.0 Systemen aber schon 2001 duch patch beseitig wurden da ich ja auf dem neusten Stand mit den patchen bin müsste die Lücke zu sein oder??

Kurz Vorher wird ein Dienst geladen den ich auch im Zusamenhang mit dieser Sicherheitslücke ergoogle habe nämlich

Benutzer:NT-AUTORITÄT\LOKALER DIENST
Computer:maria
Ereignis 576

Besondere Rechte bei neuer Anmeldung:
Benutzername: LOKALER DIENST
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0x3E5)
Berechtigungen: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege

Stehen diese sachen in dierekter Verbindung oder ist es was über das ich mir keine Sorgen machen muss das da vielleicht was im Lokalen Netzwerk was angemeldet wird .

ich würde mich sehr über Aufklärung freuen macht mich ein bissel nervös

ich sitze hinter einem Router habe den Win XP Firewall und einen Norton Firewall sowie Virenscanner am laufen es wurden keine Probleme festegestellt auch habe ich nach Trojanern bzw. Dateien gescannt die da vielleicht nicht hingehören.

Zum Schluß wie kann ich die Anmeldung verhindern

Viele Grüsse
böhme

---

Geschrieben von Kiesewetter am 31.10.2004 um 14:35:

 

die Antwort von Worf in deinem anderen Thread hat auch hier Relevanz

klick

---

Geschrieben von böhme am 31.10.2004 um 16:03:

 

hallo leute!

Will es gerne mal mit Spygate versuchen bleibt immer noch die Frage woher kommt diese Anonyme Anmeldung da die Anmeldung auch noch erfolgreich war und immer noch ist möchte ich schon wissen wer oder was sich da anmeldet


Viren,Trojaner etc habe ich nicht gefunden

datei und druckerfreigabe habe ich deinstalliert

Port 445 135-137-138-139 habe ich komplett deaktiviert genau wie der
Tip Dcom abzuschalten habe ich befolgt

Also möchte ich immer noch wissen was da los ist

Gruss
böhme

---

Geschrieben von Worf am 31.10.2004 um 17:17:

 

als erstes solltest du mal die neueste Version von Stinger runterladen und das Tool nach diesem Artikel einsetzen, kapp aber zur Sicherheit vorher mal deinen Internetzugang und führ auch noch einen Virenscan durch, wenn du kein geeigneten Virenscaanner hast, dann lade dir die Testversion Kasperksy 5.0 herunter: klick

wenn dein System sauber ist, schaust du dir die Aktivitäten auf dem Rechner mit Filemon und dem Process Explorer an, damit du herausfindest was da vor sich geht, so denn überhaupt noch Anlaß dazu besteht

---

Geschrieben von böhme am 31.10.2004 um 21:40:

 

Hallo leute!

Also ich habe alles so gemacht "STINGER" drüber laufen lassen und die Tools installiert und mit "PROCEXP" habe ich den Prozess an dem die ANONYME Anmeldung hängt ausfindig gemacht es handelt sich um die

ISASS.exe dort angemeldet.

unter Eigeschaften steht "TOKEN"

NT-AUTORITÄT/SYSTEM
NT-AUTORITÄT/ANONYMOS ANMELDUNG
NT-AUTORITÄT/NETZWERKANMELDUNG
NT-AUTORITÄT/LÖKALER DIENT
MARIA/BÖHME

wobei die ersten beiden Einträge noch zweimal unter TOKEN aufgeführt sind!

Bei allen anderen gestarteten Diensten bin entweder nur ich oder der Netzwerkdienst angemeldet.

Keine Viren,keine Trojaner nada.

Was kann es ein die ISASS.EXE ist mit zwei Diensten Verknüft und zwar mit

Geschützter Speicher
Sicherheitskontenverwaltung

kann man die nicht abschalten??

Würde mich über weitere aufklärung freuen

böhme

PS:Danke an alle

---

Geschrieben von Cerberus am 31.10.2004 um 23:28:

 

Zitat:

Was kann es ein die ISASS.EXE ist mit zwei Diensten Verknüft

zum einen du selbst mit der Einstellung unter den Sicherheitsrichtlinien, denn der lokale Sicherheitsdienst steuert die Richtlinien für User. Wenn du nicht als Administrator angemeldet bist, und nur auf bestimmte Dateien zugriff hast, ist die lsass.exe über den Anmeldedienst dafür verantwortlich. Versuchst du dich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

und zum anderen ist lsass.exe auch noch zuständig für den geschützten Speicher, einem unabdingbaren Systemdienst den du nicht deaktivieren kannst!

Es ist also alles richtig so, solange du die Sicherheitslinien so aufrecht erhälst


Cerberus

---

Geschrieben von böhme am 02.11.2004 um 19:19:

 

Hallo leute!

Es handelt sich dabei um einen Dienst der sich da anmeldet bin nicht dahinter gekommen wofür er gut ist aber es scheint nix schlimmes zu sein den ich habe gestern bei einem Freund XP neu aufgesetzt und habe "SOFORT" geschaut bevor das Teil online oder sonst was war ob die Anmeldung auch bei Ihm ist und siehe da Sie war da!!!

Also scheint diese ANONYMOS -Anmeldung nichts von aussen zu sein


kann geclosed werden besten dank an alle



böhme