Volker Busch
2007-08-26

Standardmäßig ist es sehr schwer schnell Eindringungsversuche zu Erkennen und Entgegenzuwirken.
Mit diesen Einstellungen wird es Erschwert, da bei 3 Fehlerhaft eingegeben Kennwörtern der Account für 10 Minuten gesperrt wird und gleichzeitig eine E-Mail an uns geht, die den Eindringungsversuch meldet. Ganz gleich ob lokal, Remote Desktop oder Terminalservices der Zugriff erfolgt. 

Benachrichtigung über fehlgeschlagenen Einlogversuch beim SBS-Server
Im Healthmonitor folgendes Konfigurieren 

• Alle Überwachte Computer – SBS-Server – Small Business Allerts – CoreServerAlerts 
• Neu – Datensammlungsprogramm 
  • Allgemein
    • Name: Security Fehler: Kennwort falsch
    • Kommentar: Hinzugefügt um Anmeldefehler zu überwachen 
  • Details
    • Fehlerüberwachung
    • Protokoll Sicherheit 
    • Quelle = Security 
    • Ereigniskennung=529 
  • Aktionen
    • E-Mail mit Überwachungswarnung senden (Warnung und Kritisch)
  • Nachricht 
    • Bei kritisch und Warnung oben dran ne Zeile mit überwachen>

Konten nach 3 fehlerhaften Anmeldeversuche für 10 Minuten sperren

Standard-Domänensicherheitseinstellungen – Sicherheitseinstellungen – Konto Richtlinien – Kontosperrungsrichtlinien:

• Kontosperrungsschwelle – 3 ungültige Anmeldeversuche (Standard ist unbegrenzt) 
• Kontosperrdauer – 10 Minuten (Normal keine) 
• Zurücksetzungsdauer des Kontosperrungszählers – 10 Minuten

Standard-Domänencontroller-Sicherheitseinstellungen – Sicherheitseinstellungen – Konto Richtlinien –
Kontosperrungsrichtlinien

• Kontosperrungsschwelle – 3 ungültige Anmeldeversuche (Standard ist unbegrenzt) 
• Kontosperrdauer – 10 Minuten (Normal keine) 
• Zurücksetzjngsdauer des Kontosperrungszählers – 10 Minuten 

Beim Domänencontroller nur noch Fehlgeschlagene Anmeldungen protokollieren lassen

Standardmäßig werden nur erfolgreiche Anmeldungen protokolliert. Dies wurde auf geändert. Dies damit bei Angriffsversuchen das leichter Erkannt werden kann, Erfolgreiche „interessieren ja normalerweise nicht“:

Standard-Domänencontroller-Sicherheitseinstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Überwachungsrichtlinie:

• Anmeldeereignisse überwachen von Erfolgreich auf Fehlgeschlagen geändert 
• Anmeldeversuche überwachen von Erfolgreich auf Fehlgeschlagen geändert 
• Verzeichnisdienstzugriff überwachen von Erfolgreich auf Fehlgeschlagen geändert

DefaultDomainPolicy-Computerkonfiguration-WindowsEinstellungen-Sicherheitseinstellungen –  Lokale Richtlinien – Überwachungsrichtlinie:

• Anmeldeereignisse überwachen von Erfolgreich auf Fehlgeschlagen geändert 
• Anmeldeversuche überwachen von Erfolgreich auf Fehlgeschlagen geändert 
• Verzeichnisdienstzugriff überwachen von Erfolgreich auf Fehlgeschlagen geändert 

Dem Administrator den Zugriff über Terminalservice deaktivieren

Der Administrator-Account ist wohl der bekannteste Benutzer. Wenn jemand Probiert über den Terminalservice auf Server zuzugreifen, dann wohl meist als Administrator, da hier nur noch das Kennwort erraten werden müsste.
Der Account kann wohl umbenannt werden, das könnte allerdings später zu Problemen führen. Weshalb wir einen separaten Administratorbenutzer anlegen, den wir immer zum Einloggen verwenden. Der Benutzer Administrator wird zwar belassen, aber nicht benutzt.
Damit nun der Zurgiff von Extern über den Terminalservice unterbunden wird, deaktivieren wir den Terminalserverzugriff für den Administrator-Account: Serververwaltungskonsole: 

• Benutzer 
• Doppelklick auf  
• Terminaldiensteprofil 
• aktivieren.
  (Das könnte natürlich auch für jeden anderen Benutzer, der keinen virtuellen zugriff benötigt, 
  konfiguriert werden)

 
Für den Inhalt der Artikel sind die Autoren verantwortlich.