Bonjour,
Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ?
@+
"DD" <toto@titi.fr> a écrit dans le message
news:<OycSDZTQGHA.5116@TK2MSFTNGP10.phx.gbl>...
> Bonjour,
>
> J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui
> sature à cause des 3 événements suivants qui se répètent inlassablement :
>
> * System Utilisation d'un privilège 576
> (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
>
> * System O/F de session 540 (Ouverture de session réussie,blablabla...
> Utilisateur : MonControlleur$, blablabla...Type de session :3, processus
> de
> session : Kerberos, Package d'authentification: Kerberos,
> blablabla...Adresse réseau source: IP de mon contrôleur, Port source :
> XXXX
>
> * System O/F de session 538 (Fermeture de session utilisateur, blablabla)
>
> Puis la séquence recommence en incrémentant le port source de 1 (dans
> événement 540) et ainsi de suite.
>
> Une idée ?
>
> Vous en remerciant par avance,
> @+
>
>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Michaël THIBAUT [MVP]
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un
phénomène fort utile et appréciable quand on est amené à gérer des serveurs:
Les stratégies d'Audits
Voici un lien qui t'en dira plus :
http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"DD" <toto@titi.fr> a écrit dans le message de news:
%23WeN$zbQGHA.3672@TK2MSFTNGP14.phx.gbl...
Bonjour,
Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ?
@+
"DD" <toto@titi.fr> a écrit dans le message
news:<OycSDZTQGHA.5116@TK2MSFTNGP10.phx.gbl>...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui
sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576
(SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla...
Utilisateur : MonControlleur$, blablabla...Type de session :3, processus
de
session : Kerberos, Package d'authentification: Kerberos,
blablabla...Adresse réseau source: IP de mon contrôleur, Port source :
XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans
événement 540) et ainsi de suite.
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
DD
Bjr,
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des ouvertures et fermetures de sessions ininterrompus en utilisant un port IP qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup moins souvent. Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon continue ?
@+
"Michaël THIBAUT [MVP]" a écrit dans le message de news:
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
Bjr,
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des
ouvertures et fermetures de sessions ininterrompus en utilisant un port IP
qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions
que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup moins
souvent.
Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon
continue ?
@+
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit dans
le message de news: Ox7elsdQGHA.4688@TK2MSFTNGP10.phx.gbl...
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un
phénomène fort utile et appréciable quand on est amené à gérer des
serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus :
http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton
serveur
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"DD" <toto@titi.fr> a écrit dans le message de news:
%23WeN$zbQGHA.3672@TK2MSFTNGP14.phx.gbl...
Bonjour,
Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ?
@+
"DD" <toto@titi.fr> a écrit dans le message
news:<OycSDZTQGHA.5116@TK2MSFTNGP10.phx.gbl>...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui
sature à cause des 3 événements suivants qui se répètent inlassablement
:
* System Utilisation d'un privilège 576
(SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla...
Utilisateur : MonControlleur$, blablabla...Type de session :3, processus
de
session : Kerberos, Package d'authentification: Kerberos,
blablabla...Adresse réseau source: IP de mon contrôleur, Port source :
XXXX
* System O/F de session 538 (Fermeture de session utilisateur,
blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans
événement 540) et ainsi de suite.
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des ouvertures et fermetures de sessions ininterrompus en utilisant un port IP qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup moins souvent. Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon continue ?
@+
"Michaël THIBAUT [MVP]" a écrit dans le message de news:
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
Michaël THIBAUT [MVP]
Re,
Ni l'un ni l'autre. l'objet de mon poste était juste de te dire que ce type d'évenement n'est en rien des erreurs, mais juste le résultat de l'audit d'accès.
Ensuite à toi d'analyser ton serveur afin de savoir pourquoi le compte système s'amuse à te balayer l'ensemble des ports.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news:
Bjr,
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des ouvertures et fermetures de sessions ininterrompus en utilisant un port IP qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup moins souvent. Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon continue ?
@+
"Michaël THIBAUT [MVP]" a écrit dans le message de news:
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
Re,
Ni l'un ni l'autre. l'objet de mon poste était juste de te dire que ce type
d'évenement n'est en rien des erreurs, mais juste le résultat de l'audit
d'accès.
Ensuite à toi d'analyser ton serveur afin de savoir pourquoi le compte
système s'amuse à te balayer l'ensemble des ports.
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"DD" <toto@titi.fr> a écrit dans le message de news:
OJGoc1eQGHA.1556@TK2MSFTNGP09.phx.gbl...
Bjr,
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des
ouvertures et fermetures de sessions ininterrompus en utilisant un port IP
qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions
que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup
moins souvent.
Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon
continue ?
@+
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit dans
le message de news: Ox7elsdQGHA.4688@TK2MSFTNGP10.phx.gbl...
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un
phénomène fort utile et appréciable quand on est amené à gérer des
serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus :
http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton
serveur
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"DD" <toto@titi.fr> a écrit dans le message de news:
%23WeN$zbQGHA.3672@TK2MSFTNGP14.phx.gbl...
Bonjour,
Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ?
@+
"DD" <toto@titi.fr> a écrit dans le message
news:<OycSDZTQGHA.5116@TK2MSFTNGP10.phx.gbl>...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui
sature à cause des 3 événements suivants qui se répètent inlassablement
:
* System Utilisation d'un privilège 576
(SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla...
Utilisateur : MonControlleur$, blablabla...Type de session :3,
processus de
session : Kerberos, Package d'authentification: Kerberos,
blablabla...Adresse réseau source: IP de mon contrôleur, Port source :
XXXX
* System O/F de session 538 (Fermeture de session utilisateur,
blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans
événement 540) et ainsi de suite.
Ni l'un ni l'autre. l'objet de mon poste était juste de te dire que ce type d'évenement n'est en rien des erreurs, mais juste le résultat de l'audit d'accès.
Ensuite à toi d'analyser ton serveur afin de savoir pourquoi le compte système s'amuse à te balayer l'ensemble des ports.
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news:
Bjr,
C'est de l'humour ou la flemme de lire mon post jusqu'au bout ?
Ce que je voudrais savoir c'est pourquoi l'utilisateur SYSTEM fait des ouvertures et fermetures de sessions ininterrompus en utilisant un port IP qui s'incrémente a chaque fois ?
C'est ca qui sature mon journal d'audit et non pas les infos de connexions que je logue normalement et raisonnablement.
J'ai vérifié sur d'autres contrôleurs : ca le fait aussi mais beaucoup moins souvent. Quelqu'un sait t'il pourquoi SYSTEM fait des O/F de session de façon continue ?
@+
"Michaël THIBAUT [MVP]" a écrit dans le message de news:
Bonjour,
La "raison du comportement" dont tu nous parles est juste liée à un phénomène fort utile et appréciable quand on est amené à gérer des serveurs: Les stratégies d'Audits
Voici un lien qui t'en dira plus : http://www.microsoft.com/france/technet/securite/secmod50.mspx
Vérifie aussi que tu n'as pas activé trop de stratégies sur pour ton serveur
-- Cordialement, Michaël
MVP Windows Server - Directory Services MCSA/MCSE 2003 Security MCSA/MCSE 2003 Messaging http://mthibaut.over-blog.com
Pour me contacter/ To contact me: http://cerbermail.com/?PSSxYRQedc
"DD" a écrit dans le message de news: %23WeN$
Bonjour, Peut-etre l'un d'entre vous connaît-il la raison de ce comportement ? @+
"DD" a écrit dans le message news:...
Bonjour,
J'ai le journal de sécurité d'un contrôleur de domaine (full 2003) qui sature à cause des 3 événements suivants qui se répètent inlassablement :
* System Utilisation d'un privilège 576 (SeBackupPrivilège,SeRestorePrivilège,SeDebugPrivilège,SeChangeNotifyPrivilège)
* System O/F de session 540 (Ouverture de session réussie,blablabla... Utilisateur : MonControlleur$, blablabla...Type de session :3, processus de session : Kerberos, Package d'authentification: Kerberos, blablabla...Adresse réseau source: IP de mon contrôleur, Port source : XXXX
* System O/F de session 538 (Fermeture de session utilisateur, blablabla)
Puis la séquence recommence en incrémentant le port source de 1 (dans événement 540) et ainsi de suite.
Une idée ?
Vous en remerciant par avance, @+
DD
"Michaël THIBAUT [MVP]" a écrit dans le message de news:
Re,
Ensuite à toi d'analyser ton serveur afin de savoir pourquoi le compte système s'amuse à te balayer l'ensemble des ports.
C'est exactement ce que j'aimerais savoir :)
@+
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit dans
le message de news: uW2QIKfQGHA.1204@TK2MSFTNGP12.phx.gbl...
Re,
Ensuite à toi d'analyser ton serveur afin de savoir pourquoi le compte
système s'amuse à te balayer l'ensemble des ports.
