4
Verdächtige Anmeldeaktivität SMB
In unserem Serversystem ist mir aufgefallen, dass ein Server eine SMB-Verbindung zu anderen Servern aufbaut.
Diese Verbindungen wurden jedoch nicht von uns konfiguriert. Die Frage ist, wie kann ich feststellen, welchen Pfad die SMB-Verbindung verwendet? Mit dem CMD-Befehl Netstat -ano konnte ich herausfinden, dass die SMB-Verbindungen entweder auf LSASS.Exe oder ntoskrnl verweisen. Gibt es eine Software, mit der ich den genauen Pfad herausfinden kann? Oder kann ich generell herausfinden wieso die Verbindungen aufgebaut werden ?
Diese Verbindungen wurden jedoch nicht von uns konfiguriert. Die Frage ist, wie kann ich feststellen, welchen Pfad die SMB-Verbindung verwendet? Mit dem CMD-Befehl Netstat -ano konnte ich herausfinden, dass die SMB-Verbindungen entweder auf LSASS.Exe oder ntoskrnl verweisen. Gibt es eine Software, mit der ich den genauen Pfad herausfinden kann? Oder kann ich generell herausfinden wieso die Verbindungen aufgebaut werden ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21218305538
Url: https://administrator.de/contentid/21218305538
Printed on: April 27, 2024 at 19:04 o'clock
4 Comments
Latest comment
Guten Abend,
ist die Quell-IP der Verbindung auf den Server denn bekannt?
Auf dem Dateiserver kannst du in der Computerverwaltung unter "Freigegebene Ordner" --> "Geöffnete Dateien" sehen, welche Dateien von welchem Pfad und über welchen Benutzer geöffnet sind. "Freigegebene Ordner" --> "Sitzungen" wäre für dich vermutlich auch noch von Interesse.
ist die Quell-IP der Verbindung auf den Server denn bekannt?
Auf dem Dateiserver kannst du in der Computerverwaltung unter "Freigegebene Ordner" --> "Geöffnete Dateien" sehen, welche Dateien von welchem Pfad und über welchen Benutzer geöffnet sind. "Freigegebene Ordner" --> "Sitzungen" wäre für dich vermutlich auch noch von Interesse.
1
Ja genau das steht in dem Ereignislog des AD. Danke für den Tipp. Irre ich mich jetzt es ist doch nicht üblich das ein einzelner Server ohne Konfiguration sich per SMB mit anderen Servern verbindet, selbst wenn der Ziel Server kein Share offen hat. Oder irre mich?
Danke im Voraus!
Danke im Voraus!
Nun, das ist für außenstehende schwer zu beurteilen. Genauso wenig, wie wir wissen, was ein "Server ohne Konfiguration" aus deiner Sicht ist.
Ich könnte mir vorstellen, dass das Serverbetriebssystem installiert wurde und der Server auch schon ein Teil der Domäne ist und deshalb die Verbindung zum Domänencontroller (=AD) sucht. Ist dies der Fall, so findet hier definitiv ein regelmäßiger Austausch über SMB statt.
Ich könnte mir vorstellen, dass das Serverbetriebssystem installiert wurde und der Server auch schon ein Teil der Domäne ist und deshalb die Verbindung zum Domänencontroller (=AD) sucht. Ist dies der Fall, so findet hier definitiv ein regelmäßiger Austausch über SMB statt.
2
Moin @Tobixz,
das ist ganz normal, dass ein Domänenmitglied ständig mindestens zu den DC's (SYSVOL) eine SMB Verbindung aufbaut um z.B. die GPO's oder Anmeldeskripte oder andere Dinge zu laden. 😉
Und je nachdem was z.B. in den GPO's und oder Anmeldeskripten konfiguriert ist, können dadurch auch noch weiter SMB Verbindungen zu Stande kommen.
Gruss Alex
Irre ich mich jetzt es ist doch nicht üblich das ein einzelner Server ohne Konfiguration sich per SMB mit anderen Servern verbindet, selbst wenn der Ziel Server kein Share offen hat. Oder irre mich?
das ist ganz normal, dass ein Domänenmitglied ständig mindestens zu den DC's (SYSVOL) eine SMB Verbindung aufbaut um z.B. die GPO's oder Anmeldeskripte oder andere Dinge zu laden. 😉
Und je nachdem was z.B. in den GPO's und oder Anmeldeskripten konfiguriert ist, können dadurch auch noch weiter SMB Verbindungen zu Stande kommen.
Gruss Alex
