Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] аудит блокировки учётной записи 4740 event (http://forum.oszone.net/showthread.php?t=315294)

iluffka 27-05-2016 16:06 2638095
аудит блокировки учётной записи 4740 event
 
Здрасьте.
Пытаюсь настроить аудит блокировки учётной записи, но в файлах лога Безопасность не видно событие 4740
В политике "default domain controller policy" включил всё логирование - нифига.
От отчаянья попробовал включить и в локальных политиках на контроллере домена - нифига.
Курил эту статью http://serverfault.com/questions/391...tive-directory и эту https://community.spiceworks.com/top...unt-locked-out и эту https://social.technet.microsoft.com...serversecurity и эту https://habrahabr.ru/post/171701/

Есть события 4776, 4771, а вот 4740 нет.

Вся эта задумка для того, что у пользователя блокируется учётка, а почему - понять никак не могу.
Подскажите как включить 4740 или как отследить с какого устройства блокируется учётка

snark 30-05-2016 08:37 2638656
Отследить можно при помощи планировщика заданий. Создаем задачу реакции на событие 4740:

Код:
start /wait schtasks /Create /S DC1 /TN "Locked Out Account" /RU "NT AUTHORITY\SYSTEM" /SC ONEVENT /TR "'c:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' -noprofile -file 'C:\Scripts\LockedOutAccount.ps1'" /EC "Security" /MO *[System[EventID=4740]] /RL HIGHEST
где DC1 — имя контроллера домена, на котором создается задача для вылавливания нужного события.
C:\Scripts\LockedOutAccount.ps1 — путь к Powershell скрипту.

Сам скрипт:
Код:
$Subject = "A user account was locked out"
$Theme = "A user account was locked out:"
$Server = "smtp.office365.com"
$From = "LockedAccount@firma.ru"
$To = "a.ivanov@firma.ru","v.pupkin@firma.ru"
$encoding = [System.Text.Encoding]::UTF8
$secpasswd = ConvertTo-SecureString "hArD_P@ssw0rd" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ($From, $secpasswd)

$Body = Get-WinEvent -maxevents 1 -FilterHashtable @{LogName = "Security";ID = 4740;StartTime = (Get-Date).AddSeconds(-15)} | Select TimeCreated,`
@{n = "Account";e = {([xml]$_.ToXml()).Event.EventData.Data | ?{$_.Name -eq "TargetUserName"} | %{$_.'#text'}}}, `
@{n="Computer name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetDomainName"}| %{$_.'#text'}}}

$body = $body -replace "@{" -replace "}" -replace "=", ": " -replace ";","`n" -replace "TimeCreated","Time Created" -replace "^","`n"
$BodyM = $Body

Send-MailMessage -From $From -To $To -SmtpServer $server -Body "$Theme `n$BodyM" -Subject $Subject -Encoding $encoding -Port "587" -Credential $mycreds -UseSsl
Разумеется, адрес почтового сервера и имена адресатов укажите свои. Если в домене используется подписывание Powershell скриптов, то не забудьте подписать скрипт.

iluffka 30-05-2016 12:04 2638721
Я же говорю, что 4740 события нет, от слова совсем :(

iluffka 01-06-2016 13:08 2639384
нет идей?

Charg 01-06-2016 15:49 2639427
Может события 4770 нет потому что не происходит событий, ведущих к появлению такой записи?
Откуда вообще информация что учетная запись блокируется?

iluffka 01-06-2016 16:59 2639451
в AD смотрю https://yadi.sk/i/U_dcZZuOsBKxK
Чтобы проверить специально на тестовой записи ввожу несколько раз неправильно пароль пока не заблокируется

snark 02-06-2016 10:04 2639587
А учетка точно доменная, не локальная?

ko4evneg 02-06-2016 10:13 2639589
1. Вы проверяли на других доменных контролерах наличие этого события? Применение политик проверяли?
2. Начиная с 2008 винды по умолчанию используются не простые политики аудита, а продвинутые, которые находятся здесь: Group Policy Management Editor > Default Domain Policy (Linked) > Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration. Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff).

snark 02-06-2016 10:45 2639597
Цитата:
Цитата ko4evneg
Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff). »
После включения проверьте настройки командой

Код:
auditpol /get /category:*

iluffka 02-06-2016 16:05 2639684
Учётка точно доменная) Я ж скрин из АД приложил.
ko4evneg, 1 - на обоих (у нас их 2) ни там, ни там нет 4740 (искал не только фильтром, но и ручками)
2 - включал логирование на политики контроллеров домена (Default Domain Controllers Policy) остальной путь такой же. Вот скрины https://yadi.sk/i/DpDMO0SbsCrMq и https://yadi.sk/i/OS-fFf3SsCrMm

snark, проверил - включены

iluffka 03-06-2016 10:14 2639831
ребут КД помог =\


Время: 20:32.

Время: 20:32.
© OSzone.net 2001-