Peter Kloep

A+ R A-

Security

Logon Fehler bei Windows XP / Server 2003

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Sonntag, 09. September 2012 10:35
  • Veröffentlicht: Sonntag, 03. Dezember 2006 13:39
  • Geschrieben von Peter Kloep
  • Zugriffe: 32480
Hier ist eine Übersicht über die häufigsten Fehler und Ursachen beim Anmelden an einem Windows XP System oder einem Microsoft Windows Server 2003

1. Falscher Benutzername oder falsches Passwort

2. Benutzer meldet sich ausserhalb der erlaubten Zeit an

3. Benutzer meldet sich auf einem nicht erlaubten Computer an

4. Das Konto des Benutzers ist gesperrt (Passwort zu oft falsch eingegeben)

5. Das Konto den Benutzers ist deaktiviert

6. Der Benutzer darf sich nicht mittels RemoteDesktop anmelden

7. Der Benutzer hat bei der SmartCard Anmeldung den falschen PIN eingegeben

8. Der Benutzer hat kein gültiges Zertifikat auf seiner SmartCard


1. Falscher Benutzername oder falsches Passwort 

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund:  Unbekannter Benutzername oder falsches Kennwort
  Benutzername: testbenutzer
  Domäne:  KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung: 976
  Übertragene Dienste: -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2357 

 


2.  Benutzer meldet sich ausserhalb der erlaubten Zeit an

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund:  Außerhalb der Anmeldezeiten des Kontos
  Benutzername: testbenutzer
  Domäne:  KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung:  4896
  Übertragene Dienste:  -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2324

Hier kann man die Einstellung ändern:  
Image 


 

3. Der Benutzer darf sich nicht auf diesem Computer anmelden

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund:  Benutzer darf sich an diesem Computer nicht anmelden
  Benutzername: testbenutzer
  Domäne:  KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung: 4896
  Übertragene Dienste: -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2324

Hier kann man die Einstellung ändern:  

Image 


4. Der Benutzeraccount ist gesperrt (Der Benutzer hat sein Passwort zuoft falsch eingegeben)

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund:  Konto gesperrt
  Benutzername: testbenutzer
  Domäne: KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung: 372
  Übertragene Dienste: -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2524

Hier kann man die Einstellung ändern:  
Image 


 
5. Das Konto des Benutzers ist deaktiviert

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund:  Konto ist gegenwärtig deaktiviert
  Benutzername: testbenutzer
  Domäne:  KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung: 976
  Übertragene Dienste: -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2357


6. Der Benutzer darf sich nicht mittels RemoteDesktop anmelden

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 

Hier ist der Text des Eventlogs 

Fehlgeschlagene Anmeldung:
  Grund: Dem Benutzer wurde der angeforderte
   Anmeldetyp an diesem Computer nicht gestattet.
  Benutzername: testbenutzer
  Domäne:  KLOEP
  Anmeldetyp: 10
  Anmeldevorgang: User32 
  Authentifizierungspaket: Negotiate
  Name der Arbeitsstation: NOH0001
  Aufruferbenutzername: NOH0001$
  Aufruferdomäne: KLOEP
  Aufruferanmeldekennung: (0x0,0x3E7)
  Aufruferprozesskennung:  3832
  Übertragene Dienste:  -
  Quellnetzwerkadresse: 192.168.1.22
  Quellport: 2288

 


 
7. Der Benutzer hat bei der SmartCard Anmeldung den falschen PIN eingegeben

Image 

Die Einträge im Eventlog sehen folgendermassen aus:

Image 


VPN/Authentifizierungsprotokolle

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Sonntag, 17. September 2006 10:30
  • Geschrieben von Peter Kloep
  • Zugriffe: 15210
Authentifizierungsprotokolle

Wenn ein RAS-Client eine Verbindung mit dem Netzwerk herstellt, wird der Benutzer mit bereitgestellten Anmeldeinformationen auf dem RAS-Server authentifiziert. Diese Anmeldeinformationen enthalten den Namen des Benutzers, das Kennwort und die Domäne, in dem das Benutzerkonto verwaltet wird. Wenn ein Benutzer eine Verbindung mit einem RAS-Server herstellt, wird eine Authentifizierung unter Einsatz von PPP (Point-to-Point Protocol)-Authentifizierungsmerhoden durchgeführt. Folgende Authentifizierungsmethoden werden von RRAS unter anderem unterstützt:


  • PAP (Password Authentication Protocol)
Obwohl PAP von nahezu allen Netzwerkdiensten unterstützt wird, übertägt es Benutzeranmeldeinformationen als Klartext an den RAS-Server, so dass kein Schutz vor einer Aufdeckung des Kennworts oder Wiederholungsangriffen (Replay) zur Verfügung steht.

  • SPAP (Shiva Password Authentication Protocol)
Bietet Unterstützung für Shiva-RAS-Clients. SPAP setzt eine umkehrbare Verschlüsselungsmethode ein, die als Base64-Kodierung bezeichnet wird und stärker als der von PAP bereitgestellte Schutz. SPAP ist jedoch weiterhin anfällig für Wiederholungsangriffe.

  • CHAP (Challenge Handshake Authentication Protocol)
Bietet eine stärkere Form der Authentifizierung, indem ein Hash des Kennworts und eine Herausforderungszeichenfolge (Challenge) an den Server gesendet wird. Der RAS-Server bestimmt den Benutzer, ruft das Kennwort aus dem Verzeichnis ab und wendet denselben Hashalgorithmus auf das Kennwort und die Herausforderungszeichenfolge an. Wenn die Ergebnisse übereinstimmen, wird der Benutzer authentifiziert. Diese Form der Authentifizierung bietet Schutz vor Wiederholungsangriffen.

  • MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
Der Unterschied zu CHAP besteht darin, dass der RAS-Client die Herausfoderung/ Antwort (Challenge/Response) durch Verschlüsselung der Herausforderungszeichenfolge und der MD4-Hashversion des Kennworts erstellt. Benutzerkennwörter werden standardmäßig als MD4-Hash im Verzeichnis gespeichert. Die Verschlüsselungsschlüssel für MPPE (Microsoft Point-to-Point Encryption) werden aus dem MS-CHAP-Authenti-fizierungsvorgang abgeleitet. MPPE wird bei DFÜ- und RAS-Verbindungen, die auf PPTP (Point-to-Point Tunneling Protocol) basieren, als Verschlüsselungsalgorithmus für PPP-Nutzlasten eingesetzt.


  • MS-CHAP, Version 2 (Microsoft Challenge Handshake Authentication Protocol)
Wenn ein RAS-Client eine Authentifizierung mittels MS-CHAP, Version 2, vornimmt, überträgt er eine Herausforderung/Antwort, die auf einer Herausforderung des RAS-Servers basiert. Der RAS-Server sendet eine Herausforderung/Antwort auf der Grundlage des RAS-Clients. Dies wird als gegenseitige Authentifizierung bezeichnet. Bei MS-CHAP, Version 2, belegen der RAS-Client und der RAS-Server wechselseitig, dass sie über die Kenntnis des Benutzerkennworts verfügen. Darübert hinaus leitet MS-CHAP, Version 2, stärkere MPPE-Verschlüsselungsschlüssel ab und setzt zwei verschiedene Verschlüsselungsschlüssel ein: einen für das Senden von Daten und einen weiteren für das Empfangen von Daten

  • EAP (Extensible Authentication Protocol)
Bietet eine erweiterbare Architektur für hochentickelte PPP-Authentifizierungsmethoden wie die Zwei-Faktoren-Authentifizierung. Bei EAP-MD5 CHAP handelt es sich um die CHAP-Authentifizierungsmethode, die EAP einsetzt. EAP-TLS wird für die zertifikatsbasierte Authentifizierung mit öffentlichen Schlüsseln verwendet und bietet gegenseitige Authentifizierung und gesicherten MPPE-Schlüsselaustausch zwischen dem RAS-Server und dem RAS-Client.

VPN-Protokolle

Wenn RAS-Clients eine VPN-Verbindung mit dem Unternehmensnetzwerk herstellen, werden zwei Protokolle unterstützt

  • PPTP (Point-to-Point Tunneling Protocol)
Ein Tunnelingprotokoll, dass von allen Microsoft-Betriebssystemen seit Microsoft Windows NT 4.0 unterstützt wird. PPTP setzt MPPE zur Verschlüsselung von übertragenenen Daten ein und nutzt dabei einen 40-Bit-, 56-Bit- oder 128-Bit-Verschlüsselungsschlüssel. PPTP wird häufig eingesetzt, da ältere Clients unterstützt und die Mehrzahl der NAT (Network Address Translation, Netzwerkadressübersetzung)-Geräte passieren.

  • L2TP (Layer Two Tunneling Protocol)
Ein systemeigenes Tunnelingprotokoll, das von Microsoft Windows 2000 und Microsoft Windows XP sowie von VPN-Clients mit Microsoft Windwos 98, Microsoft Windows ME und Microsoft Windows NT 4.0 Workstation unterstützt wird, die Microsoft L2TP/IPSec ausführen. L3TP bietet keine systemeigene Verschlüsselung, sondern setzt IPSec mit ESP (Encapsulating Security Payload) im Transportmodus ein. Dabei wird entweder die DES (Data Encryption Standard)-Verschlüsselung mit einem 56-Bit-Schlüssel oder die 3DES-Verschlüsselung mit drei 56-Bit-Schlüsseln verwendet. Aufgrund der IPSec-Verschlüsselung können VPN-Verbindungen mit L2TP/IPSec keine NAT-Geräte durchlaufen.

L2TP/IPsec VPN mit MS-CHAP v2

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:42
  • Geschrieben von Peter Kloep
  • Zugriffe: 11345
(2) VPN mit Windows Server 2003 und Windows XP

Protokoll: L2TP/IPSec

Authentifizierung: MS-Chap v2

Verifizierung: RAS-Richtlinie



Durch Virus modifizierte Hosts-Datei

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:36
  • Geschrieben von Peter Kloep
  • Zugriffe: 17808

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost


127.0.0.1       localhost

 

 

 

 


127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

 

PPTP VPN mit MS-CHAP v2

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:34
  • Geschrieben von Peter Kloep
  • Zugriffe: 9816
(1) VPN mit Windows Server 2003 und Windows XP

Protokoll: PPTP/MPPE

Authentifizierung: MS-Chap v2

Verifizierung: RAS-Richtlinie



V2-Zertifikatvorlagen mit Server 2003 verwenden

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 15:34
  • Geschrieben von Peter Kloep
  • Zugriffe: 9793
V2-Zertifikatvorlagen mit Server 2003 verwenden


Mit einen Windows Server 2003 Standard Edition kann man "offiziell" keine V2-Vorlagen verwenden.


Es gibt jedoch einen Weg, V2-Vorlagen mit einer Standard-CA zu verwenden