Morgen!

Ich hab' gerade mal wieder in die Ereignisanzeige geguckt und stelle fest, daß im Systemprotokoll haufenweise DCOM-Fehler angezeigt werden.


Typ: Fehler
Quelle: DCOM
Kategorie: keine
Benutzer: Nicht zutreffend
Ereignis-ID: 10003

Beschreibung:
Zugriff verweigert beim Versuch, einen DCOM-Server unter Verwendung von DefaultLaunchPermssion zu starten. Server:
{00020906-0000-0000-C000-000000000046}
Benutzer: Unavailable/Unavailable, SID=Unavailable.


Die Fehler treten recht kurz nacheinander auf, als Betriebssystem wird Windows 2000 benutzt.
An was kann das liegen? Wie kann man diesen Fehler beseitigen? Ist nämlich schon *etwas* störend.

Danke!

-huha

mmm...

Ich hoffe, du kannst ein bischen englisch und findest dabei deine Lösung:
http://www.iis-resources.com/modules/newbb/viewtopic.php?topic_id=1210&forum=3&viewmode=flat&order=ASC&start=10
Wenn ich es richtig verstanden habe, wurde dein Rechner gescannt und Windows meldet es so ...

Ahja, toll.

Die Patches, auf die hingewiesen wird, hab' ich alle drauf...
Es wird empfohlen, DCOM abzuschalten; habe ich dadurch irgendwelche Nachteile?

-huha

Microsoft hilft dir.
Und zwar hier (http://support.microsoft.com/default.aspx?scid=kb;EN-US;290398) bezüglich deiner Fehlermeldung
und hier (http://support.microsoft.com/default.aspx?scid=kb;en-us;825750) bezüglich DCOM abschalten.
Dort stehen ausserdem auch Informationen, was für Nachteile das Abschalten von DCOM hat.

Was ich komisch finde:

Ich krieg' die Fehler, obwohl ich keinen IIS betreibe... da ist doch irgendwas faul...

-huha

Die GUID die du gepostet hast (00020906-0000-0000-C000-000000000046) ist laut MS von WinWord
Microsoft Word 97/2000/2002/3003:
Key: HKEY_CLASSES_ROOT\AppID\WINWORD.EXE
AppID: {00020906-0000-0000-C000-000000000046}

Also versucht jemand von aussen bzw. über DCOM dein WinWord zu starten.

€: Es muss eigentlich jemand von aussen sein, sonst würde Benutzer/SID gültige Werte haben und nicht 'Unavailable sein'

Hab mal nen bissel geforscht und folgendes rausgefunden.

So ein Event wie du ihn oben beschrieben hast, deutet darauf hin, das jemand deinen Rechner nach der DCOM RPC Verwundbarkeit scannt.
Hier (http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx) gibt es das Microsoft Security Bulletin dazu, dass das Problem genauer beschreibt.

Das der Event geloggt wird, deutet darauf hin, das deine Firewall die Anfragen nicht blockt.
Und falls du den MS Patch noch nicht installiert hast, ist dein System verwundbar.

Ich benutz gar keine Firewall, was sollte da blockiert werden? ;)

Ich glaube, daß ich den Patch schon hab, werd' ihn zur Sicherheit aber nochmal aufspielen, danke!

-huha