Unbekannte SMB-Login-Versuche von Win11-Rechner mit MS-Account

    Hallo zusammen,


    ich bin seit ein paar Wochen dabei, sowohl ein TS-251D als auch einen Win11-Rechner neu aufzusetzen. Logge ich mich mit meinem MS-Account auf dem Win11-Rechner ein, wird von diesem im Sekundentakt unter Verwendung des MS-Accounts für mehrere Minuten versucht, einen SMB-Login gegen das NAS herzustellen. Ich erhalte „Failed to login“ Einträge im Log vom NAS. Zugriffe über den Windows-Explorer funktionieren korrekt und verwenden den konfigurierten NAS-User.


    Auf dem Win11-Rechner kann ich weder über den Process Monitor noch über Wireshark diese Login-Versuche nachvollziehen, wobei ich mit beiden Tools nur wenig Übung habe. Im Process Monitor suche ich nach Operation is IRQ_MJ_CREATE (vgl. https://xkln.net/blog/determin…-smb-requests-on-windows/). Ich kann zwar mit beiden Tools SMB-Zugriffe auf das NAS feststellen, diese sind aber erfolgreich, verwenden die korrekten User und passen zeitlich nicht zu den erkannten Fehlschlägen.


    Ein ähnliches Problem mit Win10 habe ich hier gefunden: https://forum.qnap.com/viewtopic.php?t=161837&p=793255. Das wurde aber dadurch gelöst, den Zugriff zu erlauben, was ich für gewagt halte, wenn man die Ursache nicht kennt.


    Hat jemand eine Idee, was ich noch tun kann, um den Verursacher zu finden?


    Weihnachtliche Grüße


    André

    Das kann schon reichen wenn falsche Daten in einem Programm auf dem PC hinterlegt wurden.


    Die Suche kann daher länger dauern.

    dolbyman : Danke für den Tipp. :) - Ich vermute, Du meinst das, was bei mir in Win11 Anmeldeinformationsverwaltung heißt.


    Dort gibt es einen Eintrag für das NAS mit korrektem User. Darüber hinaus gibt es noch einen Eintrag MicrosoftAccount:user=<mein MS-User>. Und einen Eintrag SSO_POP_User:user=<mein MS-User>. Alle übrigen Einträge haben keinen Bezug zu dem Thema.


    Sieht für mich erst einmal normal aus.



    Crazyhorse : Da ich diese Zugangsdaten nirgendwo bewusst hinterlegt habe, sieht es für mich eher so aus, als würde irgendetwas einfach versuchen mit meinen MS-Credentials eine Verbindung zum NAS herzustellen. Irritierend daran finde ich, dass ich davon weder im Process Monitor noch im Wireshark etwas sehe. Zudem muss der Zugriff ja automatisch nach Login erfolgen.


    Meine Hoffnung ist, dass ich nicht suchen muss, sondern analysieren kann. Mir fehlt "nur" ein Weg, das zu tun. Dachte eigentlich, Process Monitor und Wireshark wären dieser Weg.

    Da das schon vor oder bei der User Anmeldung passiert, wird das nix mit Wireshark am gleichen Rechner.

    Ein Span Port am Managed Switch könnte helfen, sonst muss ein Wiretab herhalten.


    Hatte mal die Domain geändert aber das Backup Repo in Macrium Reflect vergessen zu bereinigen.

    Da hat er dann auch den MS Account fürs NAS verwendet.

    Oder eine Verknüpfung auf dem Desktop zu einer Datei die nicht mehr da ist, da sie auf eine nicht mehr vorhandene Freigabe am NAS zeigt.

    Reicht schon, hier wird für die Vorschau die Datei aufgerufen.

    Wenn Win 11 neu mit einem Microsoft Onlinekonto eingerichtet wurde, sind die ganzen Nutzerordner (Desktop, Dokomente ...) nur gecachedte Links zu Ordnern auf OneDrive. Von dort ein Link zurück aufs NAS kann genau zu dem Effekt führen.

    Crazyhorse : Danke für die Hinweise :)


    Verknüpfungen auf dem Desktop habe ich geprüft. Alle sauber.

    Allerdings habe ich mir das NAS an den Schnellzugriff angehängt. Werde heute Abend mal prüfen, ob es einen Effekt hat, wenn ich das da weg nehme.


    Werde es danach mal mit tcpdump auf dem NAS probieren und mir meinen Switch genauer ansehen. Ich meine, der würde Port-Mirroring beherrschen.


    Allerdings beginnen die Anfragen erst nach Login - ohne dass ich etwas tue. War sogar so, dass ich es nicht reproduzieren konnte, wenn ich Wireshark über das Startmenü geöffnet habe. Habe mir den Link dann auf den Desktop gelegt und darüber gestartet. Dann konnte ich es wieder reproduzieren. - Ich vermute, dass Explorer-Aktivitäten zum Login mit dem richtigen User führen; kann aber auch Zufall sein. Und manchmal fängt es nach einer Weile dann wieder an.

    Auffällig ist, dass Armourycrate.usersessionhelper.exe immer wieder auf EXE-Dateien zugreift, die in meinem Software-Archiv auf dem NAS liegen. Die Zugriffe sind aber alle erfolgreich und nicht synchron mit den Fehlermeldungen.


    Update (28.12.21):

    Habe nun testweise den Armoury Crate Service auf meinem Rechner deaktiviert. Es scheint, als würden die Fehlschläge aufhören. Sieht aus, als hätte ich die Protokolleinträge im Process Manager und Wireshark falsch interpretiert. Werde ein paar Tage weiter beobachten und dann berichten.

    Einmal editiert, zuletzt von andre-z () aus folgendem Grund: Update

    Seit dem Abschalten des o.g. Service ist es ruhig geblieben.

    Habe nun eine Anfrage an Asus gestellt, um das Problem in dem Service abstellen zu können.

    Ja ok, aber warum fummelt das Teil auf dem NAS rum wenn es installiert wurde.

    Das ergibt keinen Sinn.

    Schon mal den Hersteller kontaktiert?

    Ich meine die bauen auch nen Condi falsch rum ein, da kann der Quellcode ja auch mal rückwärts kompiliert werden.

    Was das auf den SMB-Shares zu suchen hat, frage ich mich auch. Scheint EXE-Dateien zu tracken, die mal ausgeführt wurden. In meinem Fall alle Setups aus meinem Softwarearchiv, die ich mindestens einmal auf dem Rechner ausgeführt habe. Sinn macht das in meinen Augen nicht. Ist ja kein Virenscanner. 😉


    Hersteller habe ich angeschrieben (s.o.). Lasse den Service jetzt vorerst aus. Wenn mir die Antwort vom Hersteller nicht passen sollte, fliegt die Anwendung raus.