Homeserver Forum

Guten Morgen,

ich habe im Eventvwr gesehen, dass in der Nacht mehrere angeblich erfolgreiche Anmeldungen per RDP am Server erfolgt sind.

Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:

Benutzer: actuser
Domäne:
Quellnetzwerkadresse: 124.205.189.219.

Einen solchen Benutzer habe ich nicht auf dem Server angelegt. Bedeutet diese Meldung auch, dass der Benutzer sich in den Freigaben auf dem Server bewegen konnte? Wie bekommt man so etwas raus? Ich habe keine Lust, dass ein Chinese (zumindest kommt die IP angeblich über einen chinesischen Server) auf meine Daten zugreift.

Hast du bei dir Application Center Test installiert ? https://msdn.microsoft.com/de-de/librar ... s.71).aspx
Welche ports hast du denn auf deinem Router zum WHS freigegeben ?

Nein, habe das nicht installiert. Aber wenn ich das richtig verstehe (mit meinen Englischkenntnissen) wäre es ja möglich, dass jemand anderes einen solchen "Stress-Test" von außen initiiert und schaut, was bei rum kommt.

In meiner Fritz!box waren auf Grund der Einrichtung für einen Remote-Zugriff bzw. von außen die Ports 21, 80 und noch einer freigegeben. Diese 3 Ports bzw. die Konfiguration der Freigabe habe ich in der Fritz!Box vorsorglich gelöscht.

Motorroller hat geschrieben:Nein, habe das nicht installiert. Aber wenn ich das richtig verstehe (mit meinen Englischkenntnissen) wäre es ja möglich, dass jemand anderes einen solchen "Stress-Test" von außen initiiert und schaut, was bei rum kommt.

dafür müsste aber vorher etwas installiert worden sein und der user eingerichtet ... hast du mal nachgeschaut, ob dieser user wirklich nicht existiert (nicht in der WHS-Verwaltung sondern direkt auf Windows-Ebene)?

In meiner Fritz!box waren auf Grund der Einrichtung für einen Remote-Zugriff bzw. von außen die Ports 21, 80 und noch einer freigegeben. Diese 3 Ports bzw. die Konfiguration der Freigabe habe ich in der Fritz!Box vorsorglich gelöscht.

21 ist FTP (braucht der WHS normalerweise nicht), 80 = HTTP (normaler WHS-WebZugang) ... noch einer ? 443 wäre HTTPS für den WHS-WebZugnag oder 3389, das wäre RDP und sollte nicht freigegeben sein.

Edit: PS der angegebene Link ist bei mir eine deutsche Seite ??

Den Benutzer gibt es nicht. Es war ja nicht nur der Benutzername. Es wurden zig Benutzer ausgewiesen. Test1, user, John, david, usw. Daher wurde ich ja stutzig.

Der Link hat bei mir nicht funktioniert. Daher habe ich selbst gegoogelt.

Mich wundert es, dass der Zugriff per RDP überhaupt möglich gewesen sein soll, da ich diese Funktion im Dashboard eigentlich für den Web-Zugriff deaktiviert habe. Der Server hätte also eigentlich gar nicht erreichbar sein sollen. Aber gut.

Die Frage steht immer noch aus, ob ich sehen kann, inwiefern der Login erfolgreich war. Gibt es ein Protokoll, welcher User was gemacht hat?

Motorroller hat geschrieben:Den Benutzer gibt es nicht. Es war ja nicht nur der Benutzername. Es wurden zig Benutzer ausgewiesen. Test1, user, John, david, usw. Daher wurde ich ja stutzig.

und die waren alle "erfolgreich"?

Der Link hat bei mir nicht funktioniert. Daher habe ich selbst gegoogelt.

ich habe den noch einmal angepasst, war nicht vollständig im Hyperlink

Mich wundert es, dass der Zugriff per RDP überhaupt möglich gewesen sein soll, da ich diese Funktion im Dashboard eigentlich für den Web-Zugriff deaktiviert habe. Der Server hätte also eigentlich gar nicht erreichbar sein sollen. Aber gut.

Wenn RDP weitergelietet wird dann passiert das auf Windows-Lvele und ist unabhängig von den WHS-Funktionen

Die Frage steht immer noch aus, ob ich sehen kann, inwiefern der Login erfolgreich war. Gibt es ein Protokoll, welcher User was gemacht hat?

Nein, leider nicht ... bzw. jein, teilweise, aber nur wenn man es VORHER aktiviert hat
Aber wenn du ALLE Weiterleitungsports im Router entfernt hast bist du auf der sicheren Seite

Dann werde ich mal sehen, was heute Nacht passiert.

Und erfolgreich sollen die alle gewesen sein, zumindest so, wie es auch oben im ersten Post geschrieben steht, egal welcher Benutzername probiert wurde. Das ist es ja, was mich wundert. Oder aber die Meldung selbst ist irreführend und es wurde lediglich von draußen erfolgreich eine RDP-Verbindung aufgebaut, an der sich aber niemand auf Grund des falschen Nutzernamens bzw. Kennworts anmelden konnte. Deswegen wollte ich ja wissen, ob man sonst noch irgendwo nachsehen kann, wie es nach der versuchten Anmeldung weiter ging.

Wo genau im Event-Viewer hast du die Meldung denn gefunden ? Wenn ich das bei mir nachvollziehe bekomme ich jeweils in Security-Eventlog eine positive oder negative Meldung die aber ganz anders aussieht

Siehst Du, genau das hatte ich gesucht. Wenn ich da rein schaue, werden die Anmeldeversuche als fehlgeschlagen angezeigt wegen falschem Benutzernamen und Passwort. Das war es. Danke.