 |
|
Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка
Доброе время суток. Имеется Windows Srv 2008 R2 std, КД, ДНС, DHCP, файловый сервер, Сервер 1С. В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. Хочу уточнить: я правильно понимаю, что что-то пытается подобрать пароль и учетку, запускаясь непосредственно на сервере:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 27.12.2018 6:53:55
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: SRVR.ks.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: DOWNLOAD
Исходная рабочая станция:
Код ошибки: 0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2018-12-27T00:53:55.355391900Z" />
<EventRecordID>201273195</EventRecordID>
<Correlation />
<Execution ProcessID="792" ThreadID="25884" />
<Channel>Security</Channel>
<Computer>SRVR.ks.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">DOWNLOAD</Data>
<Data Name="Workstation">
</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
|
Добрый день! Хороший вопрос. У меня такие события начались с 26.12. А глянул я на них только сейчас после вашей темы. Но у меня другая проблема. Через RDP на сервер не могу попасть с первого раза. Может зайти со 2-ой может с 10-ой попытки. У вас такие неисправности не наблюдаются?
|
Цитата:
Цитата __sa__nya
В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. »
|
Если основываться как на данном постулате, то да идёт перебор паролей и учётных записей. Я бы для начала половил эти подключения через NetworkTrafficView и посмотрел кто да и от куда... |
Цитата:
Цитата Anton04
Я бы для начала половил эти подключения через NetworkTrafficView и »
|
Вопрос какие подключения ловить ? По событиям 4624 из Безопасность, определил, что это не RDP, в событии написано NTLMSsp. А NTLMv2 вся сеть офиса до сервера использует. Офигею с трафике нужную информацию искать. Ниже код ошибки:
Цитата:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: АДМИНИСТРАТОР
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
|
Цитата:
Цитата __sa__nya
Вопрос какие подключения ловить ? »
|
Те подключения которые записываются в систему как неудачный вход. В идеале попробуйте вечером или ночью (когда число включённых машин в сети) минимально. Теоретически нужно сопоставлять по времени появления в логах о неудачном входе с IP/именем от куда было подключение и по какому протоколу порту. Вот так как-то... |
У меня тоже выскакивают такие ошибки, никаких хвостов в Windows найти не смог. Поставил Wireshark. Дальше фильтрую трафик (tcp.dstport==3389) и смотрю левые ip-адреса с которых пытаются пройти на сервер. И блокирую их на шлюзе. В Wireshark нужно смотреть в момент попыток подключения левых юзеров.
..
|
Время: 16:20.
© OSzone.net 2001-