[2003] Security audit van 1 user verschijnt 20x binnen 1 sec

Al een tijdje lang zien we bij ons in de Security logs van een Windows 2003 server dat 1 gebruiker binnen 1 seconde meer dan 20x een logon/logoff bericht verstuurt naar de server. Misschien dat een screenshotje m'n verhaal wat verduidelijkt.



Je ziet dus een groot aantal keer de event id's 538, 540 en 680 langskomen. Als ik die eens van binnen bekijk staat er:
Event ID 538:

User Logoff:
User Name: (haar username)
Domain: (Ons domain)
Logon ID: (0x0,0x70585C7)
Logon Type: 3

Event ID 540:

Successful Network Logon:
User Name: (haar username)
Domain: (Ons domain)
Logon ID: (0x0,0x70585C7)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: (haar werkstation)
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: (haar internet ip-adres)
Source Port: 2540

Event ID 680

Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: (haar username)
Source Workstation: (haar werkstation)
Error Code: 0x0

Ik kan in de logs van de gebruiker niets vinden, en in haar opstart lijst staat ook niets bijzonders. Als ik de errorlogs zo eens langsloop zie ik ook de gebruikers "SYSTEM" en "ANONYMOUS LOGIN" regelmatig langskomen in grote hoeveelheden.

Heeft iemand enig idee hoe dit nou kan gebeuren? Ik kan via Google of Microsoft ook eigenlijk helemaal niets vinden, omdat er ook geen echte foutmeldingen staan...

De gebruiker draait op haar systeem Windows XP, mocht dat nog nuttig zijn om te weten.

[ Voor 7% gewijzigd door Hmail op 27-02-2006 13:09 ]

Ze krijgt wel een paar mailboxen, maar 2 printers, en het loginscript koppelt 3 netwerkshares... Zou dat zoveel meldingen geven?
We hebben gebruikers (ik bijvoorbeeld ) die 4 mailboxen hebben, alle (een stuk of 10) printers, en ook alle (een stuk of 10/20) netwerkshares. Bij mij komt die melding echter helemaal niet...

In dat geval geef ik de schuld aan het brakke netwerk, want dat is bij ons toch zeker wel het geval
Is dat ook de reden dat SYSTEM en ANONYMOUS LOGIN zo vaak langs komen? Het is namelijk niet mogelijk om bij ons anoniem in te loggen...

Ik ben nog eens wat bezig geweest met het onderzoeken, en ik heb het volgende ontdekt:
Er komt 2x een Event ID 540 (Network Logoff) en een 538 (Network Logon)
Vervolgens een 680 (Succes Audit)
Daarna 3x een 540 en 538.
Weer een 680.
Vervolgens weer 3x een 540 en 538.
Dan een 680.
En als laatste 1x een 540 en 538.
Dit gebeurt iedere 29-30 sec.
Ik heb kabels verwisseld, switches verwisseld, maar dit alles maakt geen verschil. Blijkbaar zit er dus echt een regelmaat in dit proces.
De gebruiker heeft geen aparte applicaties draaien, alleen Outlook en Internet Explorer.
Toch gebeurt dit bij haar collega die ongeveer hetzelfde werk doet niet.

Een heerlijk probleem... als je niks te doen hebt (wat dus in mijn geval niet echt ter sprake is )

Als het aan de patchpunten of walloutlets zou liggen zou het probleem op meerdere pc's aanwezig zijn. De kabel loopt namelijk rechtstreeks van de pc naar de switch, en die zit vervolgens op een walloutlet aangesloten.
Helaas zijn er niet meerdere walloutlets, dus kan ik het ook niet op andere testen, maar dat lijkt me in dit geval ook niet heel erg belangrijk
Om eerlijk te zijn geef ik de schuld nog niet aan de bekabeling, het lijkt me meer een softwareprobleem..

Nee, dat is het rare, dat ik dat niet in mijn TS heb gezet
Bij geen enkele andere gebruiker gebeurt het, en als de gebruiker achter een andere pc gaat zitten komt het probleem er ook niet...
Dus het moet een combinatie van profiel & pc wezen, maar ik zou niet weten waar het precies zit

[ Voor 3% gewijzigd door Hmail op 01-03-2006 23:03 ]