[puppet]

Hast du den KB899591 aus dem MS05-041 vom 09.08.2005 installiert?
Sonst auch einen aktuellen Patchstand am System?

Den RDP Port zu ändern (wenn auch nur am Router), die Verbindung über ein VPN aufzubauen oder sie mit einer simplen IPsec Regel zu schützen ist auf jeden Fall schon mal besser als komplett ohne Schutz.

Hast du sonst noch irgendwelche Ports geforwaredet?

[Der_Freak]

Nein es sind keine weiteren Ports weitergeleitet im Router nur der POrt 3389.
Das ist das Problem der Server ist auf uraltem stand.
Was ist IPsec den genau? Also das IPsec ein eigener verbindungskanal oder sowas ist weiß ich aber wie oder wo stelle ich das ein?

[puppet]

Zitat (Der_Freak: 28.08.2005, 17:44)

Das ist das Problem der Server ist auf uraltem stand.

Wer verwaltet den Server? Du solltest den Server erstmal vom Netz nehmen, den Admin finden und von seinem Leid erlösen. Danach den Server erstmal auf aktuellen Stand bringen und schauen ob er nicht kompromittiert wurde. Erst dann wieder online gehen.

Zitat (Der_Freak: 28.08.2005, 17:44)

Was ist IPsec den genau? Also das IPsec ein eigener verbindungskanal oder sowas ist weiß ich aber wie oder wo stelle ich das ein?

Wenn es ein alleinstehender Server ohne AD ist in der lokalen Sicherheitsrichtlinie (Start -> Ausführen: secpol.msc). Wenn es ein DC ist in der Richtlinie für DCs, bei einem Memberserver in der Richtlinie für die entsprechende Domain.
IPsec ist übrigens in der Windows Hilfe gut dokumentiert.

[Der_Freak]

OKay der Server ist nun auf dem neusten Stand und die Remoteverbindung funktioniert, aber nur wenn der DMZ-Serverstandard aktiviert ist.
Warum muss der DMZ-Serverstandard mit der IP vom Server (192.168.0.4) im Netgear-Router aktiviert sein?

Kann man das deaktivieren aber trotzdem die RDP funkioniert?
Vieln Dank zwischendurch für die megaspitzen Hilfe, puppet!!!

[puppet]

Du weisst schon, dass wenn du deinen Server als Default DMZ Server festlegst alle Anfragen auf allen Ports zu diesem Server geforwardet werden (das erklärt auf jeden Fall den LSASS Crash)?
Du solltest wirklich Prüfen ob nicht sich nicht doch irgend ein Haustier auf dem Server eingenistet hat.

Und du musst nur den Port 3389/TCP forwarden, wenn der Netgear dafür keine Dienstkonfiguration hat musst du eben eine neue Erstellen (Name: Remote Desktop, Internal Port: 3389, External Port: 3389, Protokoll: TCP) und diese "Dienstkonfiguration" dann zu deiner Server IP forwarden, so schwer kann das doch nicht sein

[Der_Freak]

Genau das hab ich doch schon gemacht.
Der Port 3389 ist ja auf die IP von dem Server geleitet.
Protokoll TCP kann ich niergends einstellen.

Benutzt DynDNS vielleicht noch einen anderen Port?
Oder muss ich hinter die Portnummer /TCP auch schreiben?
Tut mir ja leid wenn ich so viele Fragen stelle!

[puppet]

Zitat (Der_Freak: 28.08.2005, 20:14)

Genau das hab ich doch schon gemacht.
Der Port 3389 ist ja auf die IP von dem Server geleitet.

Wenn du es korrekt eingerichtet hast sollte es auch funktionieren. Screenshots deiner Forwarding sowie Dienstkonfig (also die Custom Service Konfig im Router für RDP) wären hilfreich.

Zitat (Der_Freak: 28.08.2005, 20:14)

Protokoll TCP kann ich niergends einstellen.

Dann wird es wohl TCP und UDP forwarden.

Zitat (Der_Freak: 28.08.2005, 20:14)

Benutzt DynDNS vielleicht noch einen anderen Port?

Das hat mit DynDNS nichts zu tun, DynDNS ist ja nur für die aktualisierung des A-Eintrages für deinen Hostnamen im (Dyn)DNS Server zuständig.

Zitat (Der_Freak: 28.08.2005, 20:14)

Oder muss ich hinter die Portnummer /TCP auch schreiben?

Halte ich für unwahrscheinlich, du könntest aber mal die Anleitung deines Routers referenzieren ob nun TCP und UDP geforwardet wird oder ob dies weiteren Einstellungen bedarf.

[echopapa609]

C:Winnt/System32/lsass.exe

Das ist ein Virus, besser gesagt ein Wurm.
Lad dir das "Removal Tool" von Symantec runter und lass es durchlaufen. Anschliessend musst das System mit dem MS Patch "desinfizieren".

Hier der Link:
http://securityresponse.symantec.com/avcen...moval.tool.html

mfg
echo

[burning-joe]

Wenns wirklich ein Virus/Wurm/Trojaner ist, dann empfehle ich das System neu zu installieren.

Ein infiziertes System ist nicht mehr vertrauenswürdig.

Und dann bevor du eine Verbindung zum Internet aufbaust alle Patches, Servicepacks etc. installieren, dann sollte sowas nicht mehr passieren.

[puppet]

Zitat (echopapa609: 29.08.2005, 10:08)

C:Winnt/System32/lsass.exe

Das ist ein Virus, besser gesagt ein Wurm.

OMG, wenn das so wäre, dass %SystemRoot%\System32\lsass.exe ein Wurm wäre, dann wären ja alle auf Windows-NT4 basierende Systeme infiziert
%SystemRoot%\System32\lsass.exe ist nur der "Local Security Authority Subsystem Service", und dieser ist (insofern du alle nötigen Hotfixes installiert hast) keines wegs gefährlich, sondern eine wichtige Systemkomponente.
Und wenn der LSASS crasht muss da noch lange kein Wurm oder Virus drinne sein, ganz im Gegenteil, wenn der LSASS crasht war die Infizierung (bei diesem einen Angriff) erfolglos. Bei erfolgreicher Infektion passiert nämlich überhaupt nichts.

Und da der sein System offensichtlich schon überprüft sollte da wohl auch nichts bösartiges drauf sein.
Wenn trotzdem was drauf ist, ist er selbst Schuld. Man sollte es ihm auch ehrlich gesagt wünschen, denn wer ein ungepatchtes Win2k als Default DMZ Server in seinem Router einträgt... Naja.

[Der_Freak]

Ja du hast ja recht, das das ziemlich leichtsinnig ist.
Nun ist der Server ja auf dem neusten Stand und der Fehler ist auch behoben.

Das mit dem RDP funktioniert nun auch einwandfrei ohne DMZ und mit nur einer Portweiterleitung...es war nur noch eine kleine einstellung in der RDP konfiguration.

Vieln Dank nochmal puppet!!!

[puppet]

Zitat (Der_Freak: 29.08.2005, 12:53)

es war nur noch eine kleine einstellung in der RDP konfiguration.

Und welche? Ich habe das schon seit NT4 TSE Zeiten so gemacht, und bis auf div. Zusatzkonfigurationen für verschiedene Verschlüsselungseinstellungen musste ich für soetwas noch nichts weiter einstellen. Oder meinst du in der "Dienstkonfiguration" am Router?

[Der_Freak]

Nein ich meinte die RDPkonfiguration in Systemsteuerung->Verwaltung.
Da war etwas verstellt was normalerweise garnicht verändert werde musste.
Das war etwas mit Standard Windows Autorisierung oder so etwas.