|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка |
|
2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка
|
Ветеран Сообщения: 2099 |
Профиль | Отправить PM | Цитировать Доброе время суток. Имеется Windows Srv 2008 R2 std, КД, ДНС, DHCP, файловый сервер, Сервер 1С. В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. Хочу уточнить: я правильно понимаю, что что-то пытается подобрать пароль и учетку, запускаясь непосредственно на сервере:
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 27.12.2018 6:53:55 Код события: 4776 Категория задачи:Проверка учетных данных Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: SRVR.ks.local Описание: Компьютер попытался проверить учетные данные учетной записи. Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: DOWNLOAD Исходная рабочая станция: Код ошибки: 0xc0000064 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4776</EventID> <Version>0</Version> <Level>0</Level> <Task>14336</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2018-12-27T00:53:55.355391900Z" /> <EventRecordID>201273195</EventRecordID> <Correlation /> <Execution ProcessID="792" ThreadID="25884" /> <Channel>Security</Channel> <Computer>SRVR.ks.local</Computer> <Security /> </System> <EventData> <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data> <Data Name="TargetUserName">DOWNLOAD</Data> <Data Name="Workstation"> </Data> <Data Name="Status">0xc0000064</Data> </EventData> </Event> |
|
------- Отправлено: 04:32, 27-12-2018 |
Старожил Сообщения: 420
|
Профиль | Отправить PM | Цитировать Добрый день! Хороший вопрос. У меня такие события начались с 26.12. А глянул я на них только сейчас после вашей темы. Но у меня другая проблема. Через RDP на сервер не могу попасть с первого раза. Может зайти со 2-ой может с 10-ой попытки. У вас такие неисправности не наблюдаются?
|
------- Отправлено: 10:27, 28-12-2018 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 2066
|
Профиль | Отправить PM | Цитировать Цитата __sa__nya:
|
|
------- Отправлено: 12:49, 28-12-2018 | #3 |
Ветеран Сообщения: 2099
|
Профиль | Отправить PM | Цитировать Цитата Anton04:
Цитата:
|
||
------- Отправлено: 08:26, 29-12-2018 | #4 |
Ветеран Сообщения: 2066
|
Профиль | Отправить PM | Цитировать Цитата __sa__nya:
|
||
------- Отправлено: 23:15, 02-01-2019 | #5 |
Новый участник Сообщения: 1
|
Профиль | Отправить PM | Цитировать У меня тоже выскакивают такие ошибки, никаких хвостов в Windows найти не смог. Поставил Wireshark. Дальше фильтрую трафик (tcp.dstport==3389) и смотрю левые ip-адреса с которых пытаются пройти на сервер. И блокирую их на шлюзе. В Wireshark нужно смотреть в момент попыток подключения левых юзеров.
.. |
Отправлено: 09:38, 06-01-2019 | #6 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Разное - Аудит отказа на операцию шифрования файла | Horse4Horse | Microsoft Windows 7 | 0 | 09-01-2018 01:13 | |
Медиа - Как сделать в Windows 7 чтобы в папке Мой компьютер была WEB Камера как в XP ! | grеatеst | Microsoft Windows 7 | 5 | 15-03-2014 15:51 | |
Установка - Была сделана попытка загрузить программу, имеющую неверный формат | StormOnline | Microsoft Windows 7 | 6 | 11-04-2012 07:32 | |
D-Link - d-link 2540u хочу уточнить | reddenya | Сетевое оборудование | 7 | 19-11-2009 09:49 | |
куда надо обращаться если была попытка взлома | Solo the human | Защита компьютерных систем | 7 | 13-01-2005 20:26 |
|