3 Replies Latest reply on Aug 15, 2016 6:52 AM by SitzRieSe

    Webzugriff?? DSM Service Account DSM Service Account „svc_dsm_runtime“

    ottmar.schneider@bechtle. Rookie
      Frage wie lässt sich das unterbinden?
      Wir haben festgestellt, das besagter Service Account ein Webseite aufrufen möchte.
      Diese wird dann auch geblockt.
      Nur die Frage die sich stellt was möchte ein Service Account  auf einer Webseite?

      Fehlermeldung
      Username: Domäne\svc_dsm_runtime@Domäne
      SourceIP. 00.00.00.00 (Nicht Original)

      URL GET: HTTP://_______________
      Category Whitelist

      Reason : BLOCK-DEST
      Notification:

      Siehe Hardcopy.

      Hatte jemand schon mal so eine Situation?

      mfg
        • 1. Re: Webzugriff?? DSM Service Account DSM Service Account „svc_dsm_runtime“
          SitzRieSe Expert
          Da du leider die URL komplett ausgegraut hast, kann ich jetzt nicht beurteilen was er da aufrufen möchten. Auf jeden Fall kommuniziert der DSM Agent extrem viel über HTTP mit dem BLS.

          Gruß

          Alex
          • 2. Re: Webzugriff?? DSM Service Account DSM Service Account „svc_dsm_runtime“
            _Mel_ Master
            die frage ist vor allem welcher prozess das macht.
            in DSM läuft unter dem account in erster linie mal der service installer. wenn der in einem escript ein per execute(ex) oder runas(ex) ein anderes programm startet, dann läuft das auch unter dem account - d.h. letztlich kann das jedes programm sein.
            wenn derselbe rechner das immer wieder macht einfach mal schauen welche prozesse zu dem zeitpunkt unter dem benutzer laufen oder die windows firewall auf dem rechner mal ausgehende verbindungen protokollieren lassen.
            • 3. Re: Webzugriff?? DSM Service Account DSM Service Account „svc_dsm_runtime“
              NicoS1 Master
              Hallo an die andere Straßenseite ,

              Ist denke ich mal relativ einfach erklärt. Ein Programm welches durch DSM installiert oder deinstalliert wird, ruft währenddessen eine Webseite auf. Sieht man z.B. gerne nach dem Deinstallieren gerne, das eine Webseite mit ner Umfrage auf geht, die wissen will warum deinstalliert wurde... ist aber hier eher nicht der Fall... alternativ werden Programme auch direkt nach der Installation automatisch gestartet unter dem User der es installiert hat. In dem Fall passierts eben mit dem Runtime Account, da es kurz vorher mit dem Runtime Account installiert wurde.

              Der unkenntlich gemachte Link gehört zur Chinesischen Suchmaschine Baidu, genauer gesagt zur Übersetzungsengine von denen... quasi die chinesische Version von Google Translate... mit dem Zusatz in der URL hinten dran werden Ausgangs und Übersetzungssprache angegeben. Vielleicht hilfts da was einzugrenzen.

              Aber ich denke am einfachsten wäre... finde den betroffenen Rechner raus und schau dir die NISRV / NIAI / NI32 Logs mal genau an, was zu besagtem Zeitpunkt denn so alles installiert bzw. deinstalliert wurde.

              Wie sich das dann unterbinden lässt, hängt ganz davon ab, was ihr wie paketiert habt.

              Gruß