J'ai des messages suspect dans mes journaux que je ne sais pas trop comment
interpréter...
En voici un exemple:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 10/09/2004
Heure : 04:47:19
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : SERVEUR
Description :
Échec d'accès :
Raison : Nom d'utilisateur inconnu ou mauvais mot de passe
Nom de l'utilisateur : Administrateur
Domaine : INTCON50
Type de session : 3
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Nom de station de travail : INTCON50
ou des réussites:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 560
Date : 10/09/2004
Heure : 04:45:14
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Objet Ouverture :
Objet Serveur : Security Account Manager
Objet Type : SAM_SERVER
Objet Nom : SAM
Nº du nouveau handle : 776336
Nº d'opération : {0,4734528}
Nº de processus : 264
Nom d'utilisateur principal : SERVEUR$
Domaine principal : CIS
Nº de la session principale : (0x0,0x3E7)
Nom d'utilisateur du client : ANONYMOUS LOGON
Domaine du client : AUTORITE NT
Nº de session du client : (0x0,0x483D3C)
Accès EnumerateDomains
LookupDomain
Privilèges -
suivi de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776648
Nº de processus : 264
puis de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776336
Nº de processus : 264
et de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776336
Nº de processus : 264
Suite à ça, j'ai l'impression qu'il a pu acceder au moins à la liste de
compte, puisque ensuite il tente de nouveau d'ouvrir une session avec un des
noms d'utilisateurs du réseau:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Connexion de compte
ID de l'événement : 681
Date : 10/09/2004
Heure : 04:45:16
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : SERVEUR
Description :
Échec de l'ouverture de session sur le compte : sylvain
par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
depuis la station de travail : SERVERMZAHP
Le code d'erreur est : 3221226036
Bon a force d'essayé, il m'a vérrouiller le compte:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 539
Date : 10/09/2004
Heure : 04:45:17
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : SERVEUR
Description :
Échec d'accès :
Raison : Compte verrouillé
Nom de l'utilisateur : sylvain
Domaine : DOMMZA
Type de session : 3
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Nom de station de travail : SERVERMZAHP
Comment interpréter ce type de message ?
NtLmSsp fait référence à DCOM (C'est quoi ?). En plus DCOM est
systématiquement en erreur dans mon journal Systeme:
Type de l'événement : Erreur
Source de l'événement : DCOM
Catégorie de l'événement : Aucun
ID de l'événement : 10003
Date : 10/09/2004
Heure : 20:41:20
Utilisateur : N/A
Ordinateur : SERVEUR
Description :
Accès refusé en essayant de démarrer un serveur DCOM utilisant
DefaultLaunchPermssion. Le serveur est:
{00020906-0000-0000-C000-000000000046}
L'utilisateur est Unavailable/Unavailable, SID=Unavailable.
Bref, qu'en penser ?
A mon avis, c'est pas très bon, mais je vois pas quoi faire...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Martin CLAVREUIL
bonjour,
commencons part votre propleme de serveur com+ :
l'object qui ne démare pas est un objet d'office : word.document.
ce qui m'amène à la question suivante :
avez-vous un serveur d'application monté sur ce serveur (IIS-ASP/ASP.NET/...) faites-vous des impressions coté serveur a l'aide d'office ? avez-vous manipulé qqchose dans le gestionnaire de composants ?
Pour ce qui est des logs de tentative d'ouverture de session :
les nom netbios des machine distante vous est-il connu ? le compte en question "sylvain" a-t-il des privilèges d'admin ?
ce serveur est-il sur internet ? quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS ...)
toutes ces questions pour essayer d'en savoir un peu plus sur le type d'utilisation afin d'etre sur qu'il ne s'agisse pas d'une erreur de configuration...
"Vincent J." a écrit dans le message de news:4141f859$0$29446$
Bonjour,
J'ai des messages suspect dans mes journaux que je ne sais pas trop comment
interpréter... En voici un exemple:
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 10/09/2004 Heure : 04:47:19 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec d'accès : Raison : Nom d'utilisateur inconnu ou mauvais mot de passe Nom de l'utilisateur : Administrateur Domaine : INTCON50 Type de session : 3 Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Nom de station de travail : INTCON50
ou des réussites:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 560 Date : 10/09/2004 Heure : 04:45:14 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Objet Ouverture : Objet Serveur : Security Account Manager Objet Type : SAM_SERVER Objet Nom : SAM Nº du nouveau handle : 776336 Nº d'opération : {0,4734528} Nº de processus : 264 Nom d'utilisateur principal : SERVEUR$ Domaine principal : CIS Nº de la session principale : (0x0,0x3E7) Nom d'utilisateur du client : ANONYMOUS LOGON Domaine du client : AUTORITE NT Nº de session du client : (0x0,0x483D3C) Accès EnumerateDomains LookupDomain
Privilèges -
suivi de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776648 Nº de processus : 264
puis de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776336 Nº de processus : 264
et de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776336 Nº de processus : 264
Suite à ça, j'ai l'impression qu'il a pu acceder au moins à la liste de compte, puisque ensuite il tente de nouveau d'ouvrir une session avec un des
noms d'utilisateurs du réseau:
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Connexion de compte ID de l'événement : 681 Date : 10/09/2004 Heure : 04:45:16 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec de l'ouverture de session sur le compte : sylvain par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 depuis la station de travail : SERVERMZAHP Le code d'erreur est : 3221226036
Bon a force d'essayé, il m'a vérrouiller le compte: Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 539 Date : 10/09/2004 Heure : 04:45:17 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec d'accès : Raison : Compte verrouillé Nom de l'utilisateur : sylvain Domaine : DOMMZA Type de session : 3 Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Nom de station de travail : SERVERMZAHP
Comment interpréter ce type de message ? NtLmSsp fait référence à DCOM (C'est quoi ?). En plus DCOM est systématiquement en erreur dans mon journal Systeme:
Type de l'événement : Erreur Source de l'événement : DCOM Catégorie de l'événement : Aucun ID de l'événement : 10003 Date : 10/09/2004 Heure : 20:41:20 Utilisateur : N/A Ordinateur : SERVEUR Description : Accès refusé en essayant de démarrer un serveur DCOM utilisant DefaultLaunchPermssion. Le serveur est: {00020906-0000-0000-C000-000000000046} L'utilisateur est Unavailable/Unavailable, SID=Unavailable.
Bref, qu'en penser ? A mon avis, c'est pas très bon, mais je vois pas quoi faire...
Merci pour vos lumieres...
Vincent
bonjour,
commencons part votre propleme de serveur com+ :
l'object qui ne démare pas est un objet d'office : word.document.
ce qui m'amène à la question suivante :
avez-vous un serveur d'application monté sur ce serveur
(IIS-ASP/ASP.NET/...)
faites-vous des impressions coté serveur a l'aide d'office ?
avez-vous manipulé qqchose dans le gestionnaire de composants ?
Pour ce qui est des logs de tentative d'ouverture de session :
les nom netbios des machine distante vous est-il connu ?
le compte en question "sylvain" a-t-il des privilèges d'admin ?
ce serveur est-il sur internet ?
quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS
...)
toutes ces questions pour essayer d'en savoir un peu plus sur le type
d'utilisation afin d'etre sur qu'il ne s'agisse pas d'une erreur de
configuration...
"Vincent J." <nospam@truc.fr> a écrit dans le message de
news:4141f859$0$29446$636a15ce@news.free.fr...
Bonjour,
J'ai des messages suspect dans mes journaux que je ne sais pas trop
comment
interpréter...
En voici un exemple:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 10/09/2004
Heure : 04:47:19
Utilisateur : AUTORITE NTSYSTEM
Ordinateur : SERVEUR
Description :
Échec d'accès :
Raison : Nom d'utilisateur inconnu ou mauvais mot de passe
Nom de l'utilisateur : Administrateur
Domaine : INTCON50
Type de session : 3
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Nom de station de travail : INTCON50
ou des réussites:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 560
Date : 10/09/2004
Heure : 04:45:14
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Objet Ouverture :
Objet Serveur : Security Account Manager
Objet Type : SAM_SERVER
Objet Nom : SAM
Nº du nouveau handle : 776336
Nº d'opération : {0,4734528}
Nº de processus : 264
Nom d'utilisateur principal : SERVEUR$
Domaine principal : CIS
Nº de la session principale : (0x0,0x3E7)
Nom d'utilisateur du client : ANONYMOUS LOGON
Domaine du client : AUTORITE NT
Nº de session du client : (0x0,0x483D3C)
Accès EnumerateDomains
LookupDomain
Privilèges -
suivi de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776648
Nº de processus : 264
puis de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776336
Nº de processus : 264
et de:
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : 10/09/2004
Heure : 04:45:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : SERVEUR
Description :
Handle fermé :
Serveur objet : Security Account Manager
Nº du handle : 776336
Nº de processus : 264
Suite à ça, j'ai l'impression qu'il a pu acceder au moins à la liste de
compte, puisque ensuite il tente de nouveau d'ouvrir une session avec un
des
noms d'utilisateurs du réseau:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Connexion de compte
ID de l'événement : 681
Date : 10/09/2004
Heure : 04:45:16
Utilisateur : AUTORITE NTSYSTEM
Ordinateur : SERVEUR
Description :
Échec de l'ouverture de session sur le compte : sylvain
par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
depuis la station de travail : SERVERMZAHP
Le code d'erreur est : 3221226036
Bon a force d'essayé, il m'a vérrouiller le compte:
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 539
Date : 10/09/2004
Heure : 04:45:17
Utilisateur : AUTORITE NTSYSTEM
Ordinateur : SERVEUR
Description :
Échec d'accès :
Raison : Compte verrouillé
Nom de l'utilisateur : sylvain
Domaine : DOMMZA
Type de session : 3
Processus d'ouverture de session : NtLmSsp
Package d'authentification : NTLM
Nom de station de travail : SERVERMZAHP
Comment interpréter ce type de message ?
NtLmSsp fait référence à DCOM (C'est quoi ?). En plus DCOM est
systématiquement en erreur dans mon journal Systeme:
Type de l'événement : Erreur
Source de l'événement : DCOM
Catégorie de l'événement : Aucun
ID de l'événement : 10003
Date : 10/09/2004
Heure : 20:41:20
Utilisateur : N/A
Ordinateur : SERVEUR
Description :
Accès refusé en essayant de démarrer un serveur DCOM utilisant
DefaultLaunchPermssion. Le serveur est:
{00020906-0000-0000-C000-000000000046}
L'utilisateur est Unavailable/Unavailable, SID=Unavailable.
Bref, qu'en penser ?
A mon avis, c'est pas très bon, mais je vois pas quoi faire...
l'object qui ne démare pas est un objet d'office : word.document.
ce qui m'amène à la question suivante :
avez-vous un serveur d'application monté sur ce serveur (IIS-ASP/ASP.NET/...) faites-vous des impressions coté serveur a l'aide d'office ? avez-vous manipulé qqchose dans le gestionnaire de composants ?
Pour ce qui est des logs de tentative d'ouverture de session :
les nom netbios des machine distante vous est-il connu ? le compte en question "sylvain" a-t-il des privilèges d'admin ?
ce serveur est-il sur internet ? quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS ...)
toutes ces questions pour essayer d'en savoir un peu plus sur le type d'utilisation afin d'etre sur qu'il ne s'agisse pas d'une erreur de configuration...
"Vincent J." a écrit dans le message de news:4141f859$0$29446$
Bonjour,
J'ai des messages suspect dans mes journaux que je ne sais pas trop comment
interpréter... En voici un exemple:
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 10/09/2004 Heure : 04:47:19 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec d'accès : Raison : Nom d'utilisateur inconnu ou mauvais mot de passe Nom de l'utilisateur : Administrateur Domaine : INTCON50 Type de session : 3 Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Nom de station de travail : INTCON50
ou des réussites:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 560 Date : 10/09/2004 Heure : 04:45:14 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Objet Ouverture : Objet Serveur : Security Account Manager Objet Type : SAM_SERVER Objet Nom : SAM Nº du nouveau handle : 776336 Nº d'opération : {0,4734528} Nº de processus : 264 Nom d'utilisateur principal : SERVEUR$ Domaine principal : CIS Nº de la session principale : (0x0,0x3E7) Nom d'utilisateur du client : ANONYMOUS LOGON Domaine du client : AUTORITE NT Nº de session du client : (0x0,0x483D3C) Accès EnumerateDomains LookupDomain
Privilèges -
suivi de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776648 Nº de processus : 264
puis de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776336 Nº de processus : 264
et de:
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Accès aux objets ID de l'événement : 562 Date : 10/09/2004 Heure : 04:45:15 Utilisateur : AUTORITE NTANONYMOUS LOGON Ordinateur : SERVEUR Description : Handle fermé : Serveur objet : Security Account Manager Nº du handle : 776336 Nº de processus : 264
Suite à ça, j'ai l'impression qu'il a pu acceder au moins à la liste de compte, puisque ensuite il tente de nouveau d'ouvrir une session avec un des
noms d'utilisateurs du réseau:
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Connexion de compte ID de l'événement : 681 Date : 10/09/2004 Heure : 04:45:16 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec de l'ouverture de session sur le compte : sylvain par : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 depuis la station de travail : SERVERMZAHP Le code d'erreur est : 3221226036
Bon a force d'essayé, il m'a vérrouiller le compte: Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 539 Date : 10/09/2004 Heure : 04:45:17 Utilisateur : AUTORITE NTSYSTEM Ordinateur : SERVEUR Description : Échec d'accès : Raison : Compte verrouillé Nom de l'utilisateur : sylvain Domaine : DOMMZA Type de session : 3 Processus d'ouverture de session : NtLmSsp Package d'authentification : NTLM Nom de station de travail : SERVERMZAHP
Comment interpréter ce type de message ? NtLmSsp fait référence à DCOM (C'est quoi ?). En plus DCOM est systématiquement en erreur dans mon journal Systeme:
Type de l'événement : Erreur Source de l'événement : DCOM Catégorie de l'événement : Aucun ID de l'événement : 10003 Date : 10/09/2004 Heure : 20:41:20 Utilisateur : N/A Ordinateur : SERVEUR Description : Accès refusé en essayant de démarrer un serveur DCOM utilisant DefaultLaunchPermssion. Le serveur est: {00020906-0000-0000-C000-000000000046} L'utilisateur est Unavailable/Unavailable, SID=Unavailable.
Bref, qu'en penser ? A mon avis, c'est pas très bon, mais je vois pas quoi faire...
Merci pour vos lumieres...
Vincent
Vincent J.
"Martin CLAVREUIL" a écrit dans le message de news: uSJ5d$
l'object qui ne démare pas est un objet d'office : word.document. ce qui m'amène à la question suivante : avez-vous un serveur d'application monté sur ce serveur (IIS-ASP/ASP.NET/...)
Cette machine a effectivement le role de serveur TSE mode application. Au niveau des sessions TSE, les utilisateurs n'utilisent pas word ni les imprimantes. Au niveau des autres postes réseau présent sur l'intranet, ils utilisent bien word et l'impression mais il n'y a pas de domaine et chaque word à bien ete installé séparement sur chaque machine.
faites-vous des impressions coté serveur a l'aide d'office ?
Personne ne travail sur le serveur.
avez-vous manipulé qqchose dans le gestionnaire de composants ?
Là, je ne peux pas dire, je viens de récuperer ce serveur comme ça. Moi non, avant je ne peux pas dire... (c'est bien ça qui m'embete d'ailleur)
Pour ce qui est des logs de tentative d'ouverture de session : les nom netbios des machine distante vous est-il connu ?
Et non... c'est bien ce qui m'inquiete...
le compte en question "sylvain" a-t-il des privilèges d'admin ?
Utilisateur avec pouvoir. Mais je retrouve ce type de message avec n'importe quel autre utilisateur (Utilisateur avec pouvoir ou Utilisateur) enregistré sur le serveur. En gros, j'ai l'impression qu'ils accèdent à la liste des utilisateurs de la machine puis font des tentatives d'ouverture avec chacun des comptes, tours à tours... Bon, ça va pas trop loin parceque je viens d'activer le verrouillage des comptes au bout de 3 echecs, mais bon... il y a bien une faille qq part... Que qqn me rassure: l'on ne peut pas obtenir comme ça la liste des utilisateurs d'un pc ?
ce serveur est-il sur internet ?
Oui. A la question, y a-t-il un filtrage de port ? Au niveau du serveur: non. Au niveau du routeur: je ne sais pas si il est en DMZ où si il y a juste qq ports d'ouverts. J'ai pas trop moyen de savoir pour l'instant, j'ai pas les codes... Evidamment, dès que j'ai l'info (mais à mon avis si c'est du même style que le reste, je l'imagine bien en DMZ...) si nécéssaire, je restraint son accès au seul port TSE (en fait, au seul port VPN dans lequel on fera transiter TSE...)
quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS Uniquement TSE et Interbase
Avant il y avait Web et FTP par défaut suite à l'installation, mais comme il tournait à vide et sans paramétrage, ils ont été arrêté en début d'année (mais ils ont bien du tourner comme ça pendant au moins autant de temps...)
Voilà,
Vincent
"Martin CLAVREUIL"
<-dropthis-martin.clavreuil_dropthis_@wanadoo._drop-this_fr> a écrit dans le
message de news: uSJ5d$OmEHA.3876@TK2MSFTNGP15.phx.gbl...
l'object qui ne démare pas est un objet d'office : word.document.
ce qui m'amène à la question suivante :
avez-vous un serveur d'application monté sur ce serveur
(IIS-ASP/ASP.NET/...)
Cette machine a effectivement le role de serveur TSE mode application. Au
niveau des sessions TSE, les utilisateurs n'utilisent pas word ni les
imprimantes.
Au niveau des autres postes réseau présent sur l'intranet, ils utilisent
bien word et l'impression mais il n'y a pas de domaine et chaque word à bien
ete installé séparement sur chaque machine.
faites-vous des impressions coté serveur a l'aide d'office ?
Personne ne travail sur le serveur.
avez-vous manipulé qqchose dans le gestionnaire de composants ?
Là, je ne peux pas dire, je viens de récuperer ce serveur comme ça. Moi non,
avant je ne peux pas dire... (c'est bien ça qui m'embete d'ailleur)
Pour ce qui est des logs de tentative d'ouverture de session :
les nom netbios des machine distante vous est-il connu ?
Et non... c'est bien ce qui m'inquiete...
le compte en question "sylvain" a-t-il des privilèges d'admin ?
Utilisateur avec pouvoir. Mais je retrouve ce type de message avec n'importe
quel autre utilisateur (Utilisateur avec pouvoir ou Utilisateur) enregistré
sur le serveur. En gros, j'ai l'impression qu'ils accèdent à la liste des
utilisateurs de la machine puis font des tentatives d'ouverture avec chacun
des comptes, tours à tours...
Bon, ça va pas trop loin parceque je viens d'activer le verrouillage des
comptes au bout de 3 echecs, mais bon... il y a bien une faille qq part...
Que qqn me rassure: l'on ne peut pas obtenir comme ça la liste des
utilisateurs d'un pc ?
ce serveur est-il sur internet ?
Oui.
A la question, y a-t-il un filtrage de port ? Au niveau du serveur: non. Au
niveau du routeur: je ne sais pas si il est en DMZ où si il y a juste qq
ports d'ouverts.
J'ai pas trop moyen de savoir pour l'instant, j'ai pas les codes...
Evidamment, dès que j'ai l'info (mais à mon avis si c'est du même style que
le reste, je l'imagine bien en DMZ...) si nécéssaire, je restraint son accès
au seul port TSE (en fait, au seul port VPN dans lequel on fera transiter
TSE...)
quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS
Uniquement TSE et Interbase
Avant il y avait Web et FTP par défaut suite à l'installation, mais comme il
tournait à vide et sans paramétrage, ils ont été arrêté en début d'année
(mais ils ont bien du tourner comme ça pendant au moins autant de temps...)
"Martin CLAVREUIL" a écrit dans le message de news: uSJ5d$
l'object qui ne démare pas est un objet d'office : word.document. ce qui m'amène à la question suivante : avez-vous un serveur d'application monté sur ce serveur (IIS-ASP/ASP.NET/...)
Cette machine a effectivement le role de serveur TSE mode application. Au niveau des sessions TSE, les utilisateurs n'utilisent pas word ni les imprimantes. Au niveau des autres postes réseau présent sur l'intranet, ils utilisent bien word et l'impression mais il n'y a pas de domaine et chaque word à bien ete installé séparement sur chaque machine.
faites-vous des impressions coté serveur a l'aide d'office ?
Personne ne travail sur le serveur.
avez-vous manipulé qqchose dans le gestionnaire de composants ?
Là, je ne peux pas dire, je viens de récuperer ce serveur comme ça. Moi non, avant je ne peux pas dire... (c'est bien ça qui m'embete d'ailleur)
Pour ce qui est des logs de tentative d'ouverture de session : les nom netbios des machine distante vous est-il connu ?
Et non... c'est bien ce qui m'inquiete...
le compte en question "sylvain" a-t-il des privilèges d'admin ?
Utilisateur avec pouvoir. Mais je retrouve ce type de message avec n'importe quel autre utilisateur (Utilisateur avec pouvoir ou Utilisateur) enregistré sur le serveur. En gros, j'ai l'impression qu'ils accèdent à la liste des utilisateurs de la machine puis font des tentatives d'ouverture avec chacun des comptes, tours à tours... Bon, ça va pas trop loin parceque je viens d'activer le verrouillage des comptes au bout de 3 echecs, mais bon... il y a bien une faille qq part... Que qqn me rassure: l'on ne peut pas obtenir comme ça la liste des utilisateurs d'un pc ?
ce serveur est-il sur internet ?
Oui. A la question, y a-t-il un filtrage de port ? Au niveau du serveur: non. Au niveau du routeur: je ne sais pas si il est en DMZ où si il y a juste qq ports d'ouverts. J'ai pas trop moyen de savoir pour l'instant, j'ai pas les codes... Evidamment, dès que j'ai l'info (mais à mon avis si c'est du même style que le reste, je l'imagine bien en DMZ...) si nécéssaire, je restraint son accès au seul port TSE (en fait, au seul port VPN dans lequel on fera transiter TSE...)
quels sont les services fourns par ce serveur ? (Fileshare, HTTP, FTP, DNS Uniquement TSE et Interbase
Avant il y avait Web et FTP par défaut suite à l'installation, mais comme il tournait à vide et sans paramétrage, ils ont été arrêté en début d'année (mais ils ont bien du tourner comme ça pendant au moins autant de temps...)
