Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Журнал безопасности забит отказами (http://forum.oszone.net/showthread.php?t=343172)

ev83gen 05-12-2019 06:58 2899107
Журнал безопасности забит отказами
 
Добрый день всем.
Win 2008R2 - контроллер домена, при входе в систему не посредственно с консоли выдает:
Количество неудачных интерактивных входов в систему со времени последнего интерактивного входа N.

В журнале безопасности по коду 4625 может быть в разы меньше отказов чем N, но они есть. В 99% это тип входа 3.
Соответственно, в большинстве случаях выдается инфа об источнике и логине, под которым был вход. Машины локальные, но
вот на них нет таких логинов, проверял на вирусы, проверял все автозапуски, проверял все места хранения учетных записей и
хранение сетевых паролей, ничего не могу найти, а журнал безопасности каждый день растет.
Подскажите куда копать? Или может кто знает как в Win 7 посмотреть все существующие или введеные учетные данные.

zai 05-12-2019 11:42 2899127
ev83gen, у тебя сервак одним из LAN в интернете торчит, типа его раздает?

ev83gen 05-12-2019 11:54 2899129
Цитата:
Цитата zai
ev83gen, у тебя сервак одним из LAN в интернете торчит, типа его раздает? »
Ни в коем случае, сервак за Mikrotikom, за натом и за Firewall с кучей отрезающийх правил.
Все это идет из локальной сети, от машин, к которым у меня есть абсолютный доступ.
Ну вот пример для полноты картины:
Сервак 192.168.1.1 у него в логах отказ доступа , тип доступа 3. Имя рабочей станции PC-1, IP 192.168.1.3. пользователь admin

Ну я захожу на комп 192.168.1.3. В учетных записях admin - нет, в сохраненных сетевых паролях admin - нет, в автозапуске пусто,
в планировщике заданий ничего нет. Подключение сетевых дисков от admin тоже нет. Вот как его найти, где он прописан?

zai 05-12-2019 12:04 2899130
Цитата:
Цитата ev83gen
сервак за Mikrotikom »
Он не взломан? WinBox (обычно все его юзают) очень легко выламывается.
Цитата:
Цитата ev83gen
Имя рабочей станции PC-1, IP 192.168.1.3. пользователь admin »
Цитата:
Цитата ev83gen
Вот как его найти, где он прописан? »
На компе 192.168.1.3, либо пользователь данного ПК фигней страдает.

Цитата:
Цитата ev83gen
в планировщике заданий ничего нет »
Они могут быть скрыты, нужно залогиниться от учетки "Администратор", тогда будут видны все.

Зы. Скриншот логов покажи

ev83gen 05-12-2019 12:35 2899132
Цитата:
Цитата zai
Он не взломан? WinBox (обычно все его юзают) очень легко выламывается. »
Не думаю, все обновлено до последней версии и подключение разрешено только с локалки с пару адресов.

Цитата:
Цитата zai
На компе 192.168.1.3, либо пользователь данного ПК фигней страдает. »
Это наврядли, контингент не тот.

Цитата:
Цитата zai
Они могут быть скрыты, нужно залогиниться от учетки "Администратор", тогда будут видны все. »
Про это вкурсе, просматривал компы под локальными администраторами.

Скрины, сейчас нет возможности, позже выложу.

zai 05-12-2019 13:09 2899140
Цитата:
Цитата ev83gen
Про это вкурсе, просматривал компы под локальными администраторами »
автозагрузку в реестре смотрел?

ev83gen 05-12-2019 14:27 2899160
Цитата:
Цитата zai
автозагрузку в реестре смотрел? »
тоже просматривал, единственное что не смотрел, так может какая то служба запускается от имени....
Но вот служб много, может какая команда в cmd есть?

zai 05-12-2019 14:45 2899162
Цитата:
Цитата ev83gen
может какая команда в cmd есть? »
в реестре поиском "admin"

ev83gen 05-12-2019 14:56 2899163
Цитата:
Цитата zai
в реестре поиском "admin" »
Хорошая была идея, но вот учетка реально admin, а в реестре столько ..... где admin встречается.... А если выставить галочку "искать только строку целиком", то ничего не находит.


Время: 14:39.

Время: 14:39.
© OSzone.net 2001-