Постоянно генерируется аудит успеха EventID (4634, 4624, 4672) [Версия для КПК]

Показать полную графическую версию : Постоянно генерируется аудит успеха EventID (4634, 4624, 4672)

Kursor_kvk

13-08-2013, 09:05

Здравствуйте, люди добрые.

Подсобите, кто чем может.

Ситуация такая: есть Server 2008 r2, с доменом. Так вот на нем, в журнале Безопасности, каждую секунду вываливаются подряд 3 события

Аудит успеха - Вход с учетной записью выполнен успешно
ИД Безопасности: NULL SID
Имя учетной записи: -
....

Пользователь: Н/Д
Код события: 4624
___________________________________________________

Аудит успеха - Выполнен выход учетной записи
ИД Безопасности: система
Имя учетной записи: ServerIS$ (имя сервера + $)

....

Пользователь: Н/Д
Код события: 4634

____________________________________________________

Аудит успеха - Новому сеансу входа назначены специальные привилегии
ИД Безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
....

Пользователь: Н/Д
Код события: 4672

На другом сервере, у товарища, такая же штука вылазит.

В интернете по этому поводу нашел только предложение отключить в журнале аудит системных событий.

Подскажите, откуда эти ивенты, насколько они страшны, и что мне с этим делать.

Заранее благодарю.

exo

13-08-2013, 11:16

насколько они страшны »
если в поле "Имя учетной записи" не ничего подозрительного - всё в порядке.
и что мне с этим делать »
ничего. это нормальная ситуация в домене.
Аудит успеха »
это говорит о том, что у вас всё хорошо, и пользователь может работать.

а вообще, имхо, странный вопрос. вы, я думаю как системный администратор, должны знать что у вас происходит на сервере.

Kursor_kvk

13-08-2013, 11:38

exo,
Спасибо, я учусь.

Вот именно хотелось знать, что происходит на сервере. А когда вроде бы ничего не происходит, фиксируется вход в систему - это насторожило.

Kursor_kvk

20-08-2013, 06:09

Все таки что-то неладное творится с сервером(
Отключил в политике аудита "Аудит успеха", почистил журнал и теперь за одну ночь нападало 70000 записей "Аудит отказа".

Ошибки чередуются:
(4625) Причина ошибки: Неизвестное имя пользователя или неверный пароль.

(4776) Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Administrator
Исходная рабочая станция: SERVER
Код ошибки: 0xc0000064

Не понимаю что он проверяет. Если кто подскажет - буду благодарен.

dahiko

20-08-2013, 06:58

В помощь админам
http://support.microsoft.com/kb/977519