Frage oder Herausforderung
Die Anmeldeüberprüfung im Managed RMM Dashboard schlägt Alarm und weist eine hohe Anzahl an fehlgeschlagene Anmeldungen aus. Was kann ich tun?Lösung oder Antwort
Auf Servern tritt diese Meldung häufig auf, deswegen erklären wir hier einmal das Standard-Vorgehen:
Anschauen der Details zur Überprüfung. Dort siehst du, wie oft sich ein Benutzer versucht hat anzumelden. Wenn hinter einem real existierenden User eine kleine Zahl (unter 10) steht, kann das vernachlässigt werden. Meistens hat sich der entsprechende Benutzer nur vertippt. Manchmal sieht man hier auch schon die Quelle der Anfrage.
Der nächste Schritt führt dann ins Ereignisprotokoll „Sicherheit“. Mit der erweiterten „Remoteverwaltung im Hintergrund“ kann man das ganz schnell in Ausschnitten anschauen.
Hier filterst du nach der ID (z.B. „4625“) aus der fehlgeschlagenen RMM-Prüfung. Spätestens jetzt sollte die Quelle der Anfrage bekannt sein. Handelt es sich hierbei um eine interne IP-Adresse, kann man mit der Netzwerkverwaltung nach der IP-Adresse schauen. Häufig ist hier ein Netzwerkgerät (bspw. IP-Kamera) mit veralteten Anmeldedaten unterwegs.
Handelt es sich bei der Quelle um eine externe IP, kann man mit IP-Lokalisierungsdiensten herausfinden, von wo in etwa die Anfrage kam.
Die Antwort ist in der Regel bis auf wenige Kilometer genau (wenn der Angreifer die IP-Adresse nicht verschleiert). Das kann man hervorragend benutzen, um einem Kunden aufzuzeigen, dass ein Server mit offenen Ports im Internet z.B. jede Nacht mit Anfragen aus den USA und Asien überhäuft wird und diese Anfragen immer häufig benutzte Kontonamen wie „Admin, Administrator, Superuser,… “ nutzen.
Damit ist man dann in der Beratung und sollte keine Probleme mehr haben, eine vernünftige Kennwortrichtlinie, regelmäßige AD-User-Wartung und auch eine gut konfigurierte Firewall zu verkaufen.
Wer nicht besonders fit auf dem Gebiet der Firewalls ist, kann gerne unser Managed-Firewall-Angebot nutzen. Hier kümmern der Hersteller und wir uns um alle anliegenden Konfigurationen und ihr müsst eigentlich nur noch verkaufen und den Techniker als verlängerten Arm vor Ort stellen.
🔗 Weitere Artikel
Hier findest du weitere Artikel zu diesem Produkt.
Kommentar hinzufügen