none
ID evento 530 col processo ADVAPI e la porta 25 aperta RRS feed

  • Domanda

  • Ciao a tutti,

    ho un problema di questo genere, presso una società ho un DC con Windows 2008 Standard X64 e un Server Data con Windows 2003 Standard, bene se verifico l'audit del visualizzatore di eventi alla categoria protezione del Server Data 2003, noto che ogni ora durante la notte c'e' un evento 530 dove il mio utente /che ha privilegi di amministrazione - l'administrator l'ho disabilitato - cerca di effettuare un accesso col processo advapi, ma che gli è negato in quanto gli utenti me compreso hanno restrizioni sugli orari di accesso - dalle 19:00 alle 07:00 non si può accedere.

    Tutto questo mi turba molto, in quanto mi sembra evidente che qualcuno o qualcosa cerchi di violare il sistema.

    Dall'esterno ho chiuso tutte le porte possibili - rmane aperta e operativa solo la 443 per l'utilizzo di owa, e le porte 500e 4500 sul firewall per stabilire la vpn con i client i modalità dinamica, la porta 25 per l'utlizzo smtp da parte del server 2008 - per il resto dall'esterno gli utenti si collegamno via vpn - qualcuno sa consigliarmi cosa e come verificare?

    grazie

    • Tipo modificato Anca Popa lunedì 28 marzo 2011 06:30 in attesa di ulteriori feedback
    • Tipo modificato Anca Popa giovedì 7 aprile 2011 08:48 soluzione trovata
    • Modificato Anca Popa giovedì 7 aprile 2011 08:52 parole troncate
    lunedì 21 marzo 2011 09:29

Risposte

Tutte le risposte

  • leggi intanto questo blogpost http://blogs.msdn.com/b/puneetgupta/archive/2007/08/20/unknown-username-or-bad-password-inetinfo-exe-advapi.aspx da cui capisci a cosa serva advapi.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 21 marzo 2011 10:32
    Moderatore
  • Grazie per il link,

    ma se chiudessi momentaneamente le porte 443 e 25 e il giorno dopo verificassi nuovamente l'audit del server potrebbe comunque essere un buono spunto per capire intanto le porte su cui questo sospetto attacco avviene??...la procedura del link mi sembra un po' complessuccia e non vorrei complicare le cose....

    • Modificato Anca Popa giovedì 7 aprile 2011 08:53 linguaggio SMS deprecato nei Forum
    lunedì 21 marzo 2011 15:31
  • Senza chiudere porte, sul fw ci sono log in merito ad accessi dall'esterno?

    Non è possibile che gli eventi che evidenzi dipendano da programmi / processi o servizi schedulati che incontrano l'errore dovuti alla restrizione sugli orari d'accesso?


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 21 marzo 2011 16:14
  • Le ipotesi dunque potrebbero essere delle più disparate...da un virus interno all'azienda, ad un programma schedulato ad un tentativo di intrusione dall'esterno giusto??....cerchero' nei log del firewall per vedere se c'e' qualcosa di anomalo....speravo fosse un problema noto e ben specifico...

    martedì 22 marzo 2011 16:57
  • Grazie x il link,

    ma se chiudessi momentaneamente le porte 443 e 25 e il giorno dopo verificassi nuovamente l'audit del server potrebbe cmq essere un buono spunto x capire intanto le porte su cui questo sospetto attacco avviene??...la procedura del link mi sembra un po' complessuccia e non vorrei complicare le cose....

    non complicarti nulla. 

    You will run in to this issue only if you have Exchange/SMTP running on the machine.

    sei in questo caso ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 24 marzo 2011 09:01
    Moderatore
  • Ciao vibot76,

    Il tuo quesito è ancora aperto.

    In attesa di un gradito riscontro, colgo l'occasione per ringraziare Adriano e Edoardo dell'aiuto.

    Saluti,

     


    Anca Popa Follow ForumTechNetIt on Twitter

    Dov'è finito l'event ID 1221 in Exchange Server 2010?  

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    lunedì 28 marzo 2011 06:39
  • Scusate il ritardo...allora si ho chiuso la porta 25 e il messaggio è sparito....

     

    grazie a tutti

    • Contrassegnato come risposta Anca Popa giovedì 7 aprile 2011 08:49
    giovedì 7 aprile 2011 08:26
  • Ottimo. Grazie di essere tornato a postare la soluzione sul forum!


    Anca Popa Follow ForumTechNetIt on Twitter

    Dov'è finito l'event ID 1221 in Exchange Server 2010?  

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    giovedì 7 aprile 2011 08:50
  • quindi avevi un smtp "open relay" ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 8 aprile 2011 08:46
    Moderatore