Frohes neues Jahr zusammen!
Seit ca 2 Wochen spammt micht XP SP2 im Sicherheitsprotokoll mit obiger Meldung zu. Abwechselnd Ereignis Nr. 540 ud 538 im Minutentakt.
Meldungen sehen so aus:
**** 540 ****
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 01.01.2008
Zeit: 02:04:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: INTERNET
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0xFDAC429)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname: SERVER
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
***** ENDE *****
und:
***** 538 *****
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 01.01.2008
Zeit: 02:04:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: INTERNET
Beschreibung:
Benutzerabmeldung:
Benutzername: ANONYMOUS-ANMELDUNG
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0xFDAC429)
Anmeldetyp: 3
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
***** ENDE *****
Arbeitsstationsname schwankt je nachdem, welche Rechner im NW angemeldet sind (Server, Spiele, Notebook). Meldung kommt tatsächlich auch nur dann, wenn die entsprechende Arbeitsstation hochgefahren ist. Also alle 3 anderen Rechner aus = keine Meldung!
Nachdem man sich ständig mit eingeschränktem Konto auf Grund des überfüllten Sicherheitsprotokolls nicht mehr anmelden konnte, habe ich das Sicherheitsprotokoll jetzt erst mal auf "Bei bedarf überschreiben" gestellt.
Bei der Suche im Netz bin ich auf widersprüchliche Aussagen gestossen. Die einen sagen ignorieren oder NTLM abschalten, die anderen sagen Trojaner an Board (!) (konnte aber mit aktuellem McAffee und Onlinesuche bei 2 Konkurenz-Antivir-Herstellern nichts finden).
Auf den anderen 3 Rechnern findet sich übrigens kein derartiger Eintrag in den Protokollen, was mich doch stutzig macht!
Auf dem Server und dem Internet-Rechner ist RDP aktiviert, da ich mich auf beide vom Notebook (Sofa oder Bett) aus einklinke.
- Also was genau bedeutet diese Meldung ?
- Muss ich mir Sorgen um die Sicherheit machen ?
- Warum nur 1 Rechner ?
- Kann ich NTLM abschalten, ohne daß zB RDP oder anderes nicht mehr funktioniert ? und Wie ?
- Antwort bitte in Dau-Deutsch ;-) !
Dank im Voraus.
Argail
Seit ca 2 Wochen spammt micht XP SP2 im Sicherheitsprotokoll mit obiger Meldung zu. Abwechselnd Ereignis Nr. 540 ud 538 im Minutentakt.
Meldungen sehen so aus:
**** 540 ****
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 01.01.2008
Zeit: 02:04:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: INTERNET
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername:
Domäne:
Anmeldekennung: (0x0,0xFDAC429)
Anmeldetyp: 3
Anmeldevorgang: NtLmSsp
Authentifizierungspaket: NTLM
Arbeitsstationsname: SERVER
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
***** ENDE *****
und:
***** 538 *****
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 01.01.2008
Zeit: 02:04:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: INTERNET
Beschreibung:
Benutzerabmeldung:
Benutzername: ANONYMOUS-ANMELDUNG
Domäne: NT-AUTORITÄT
Anmeldekennung: (0x0,0xFDAC429)
Anmeldetyp: 3
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
***** ENDE *****
Arbeitsstationsname schwankt je nachdem, welche Rechner im NW angemeldet sind (Server, Spiele, Notebook). Meldung kommt tatsächlich auch nur dann, wenn die entsprechende Arbeitsstation hochgefahren ist. Also alle 3 anderen Rechner aus = keine Meldung!
Nachdem man sich ständig mit eingeschränktem Konto auf Grund des überfüllten Sicherheitsprotokolls nicht mehr anmelden konnte, habe ich das Sicherheitsprotokoll jetzt erst mal auf "Bei bedarf überschreiben" gestellt.
Bei der Suche im Netz bin ich auf widersprüchliche Aussagen gestossen. Die einen sagen ignorieren oder NTLM abschalten, die anderen sagen Trojaner an Board (!) (konnte aber mit aktuellem McAffee und Onlinesuche bei 2 Konkurenz-Antivir-Herstellern nichts finden).
Auf den anderen 3 Rechnern findet sich übrigens kein derartiger Eintrag in den Protokollen, was mich doch stutzig macht!
Auf dem Server und dem Internet-Rechner ist RDP aktiviert, da ich mich auf beide vom Notebook (Sofa oder Bett) aus einklinke.
- Also was genau bedeutet diese Meldung ?
- Muss ich mir Sorgen um die Sicherheit machen ?
- Warum nur 1 Rechner ?
- Kann ich NTLM abschalten, ohne daß zB RDP oder anderes nicht mehr funktioniert ? und Wie ?
- Antwort bitte in Dau-Deutsch ;-) !
Dank im Voraus.
Argail