Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка

Ответить
Настройки темы
2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка

Ветеран


Сообщения: 1693
Благодарности: 113


Конфигурация

Профиль | Отправить PM | Цитировать


Доброе время суток. Имеется Windows Srv 2008 R2 std, КД, ДНС, DHCP, файловый сервер, Сервер 1С. В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. Хочу уточнить: я правильно понимаю, что что-то пытается подобрать пароль и учетку, запускаясь непосредственно на сервере:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 27.12.2018 6:53:55
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: SRVR.ks.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: DOWNLOAD
Исходная рабочая станция:
Код ошибки: 0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2018-12-27T00:53:55.355391900Z" />
<EventRecordID>201273195</EventRecordID>
<Correlation />
<Execution ProcessID="792" ThreadID="25884" />
<Channel>Security</Channel>
<Computer>SRVR.ks.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">DOWNLOAD</Data>
<Data Name="Workstation">
</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>

-------
Чем больше узнаешь - тем больше понимаешь что ничего не знаешь.


Отправлено: 04:32, 27-12-2018

 

Старожил


Сообщения: 268
Благодарности: 6

Профиль | Отправить PM | Цитировать


Добрый день! Хороший вопрос. У меня такие события начались с 26.12. А глянул я на них только сейчас после вашей темы. Но у меня другая проблема. Через RDP на сервер не могу попасть с первого раза. Может зайти со 2-ой может с 10-ой попытки. У вас такие неисправности не наблюдаются?

-------
Судьба играет человеком, а человек играет на трубе ©


Отправлено: 10:27, 28-12-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Anton04

Ветеран


Сообщения: 1285
Благодарности: 213

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. »
Если основываться как на данном постулате, то да идёт перебор паролей и учётных записей. Я бы для начала половил эти подключения через NetworkTrafficView и посмотрел кто да и от куда...

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 12:49, 28-12-2018 | #3


Ветеран


Сообщения: 1693
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Anton04:
Я бы для начала половил эти подключения через NetworkTrafficView и »
Вопрос какие подключения ловить ? По событиям 4624 из Безопасность, определил, что это не RDP, в событии написано NTLMSsp. А NTLMv2 вся сеть офиса до сервера использует. Офигею с трафике нужную информацию искать. Ниже код ошибки:

Цитата:
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: АДМИНИСТРАТОР
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

-------
Чем больше узнаешь - тем больше понимаешь что ничего не знаешь.


Отправлено: 08:26, 29-12-2018 | #4


Аватара для Anton04

Ветеран


Сообщения: 1285
Благодарности: 213

Профиль | Отправить PM | Цитировать


Цитата __sa__nya:
Вопрос какие подключения ловить ? »
Те подключения которые записываются в систему как неудачный вход. В идеале попробуйте вечером или ночью (когда число включённых машин в сети) минимально. Теоретически нужно сопоставлять по времени появления в логах о неудачном входе с IP/именем от куда было подключение и по какому протоколу порту. Вот так как-то...

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 23:15, 02-01-2019 | #5


Новый участник


Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать


У меня тоже выскакивают такие ошибки, никаких хвостов в Windows найти не смог. Поставил Wireshark. Дальше фильтрую трафик (tcp.dstport==3389) и смотрю левые ip-адреса с которых пытаются пройти на сервер. И блокирую их на шлюзе. В Wireshark нужно смотреть в момент попыток подключения левых юзеров.
..

Отправлено: 09:38, 06-01-2019 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Аудит отказа на операцию шифрования файла Horse4Horse Microsoft Windows 7 0 09-01-2018 01:13
Медиа - Как сделать в Windows 7 чтобы в папке Мой компьютер была WEB Камера как в XP ! grеatеst Microsoft Windows 7 5 15-03-2014 15:51
Установка - Была сделана попытка загрузить программу, имеющую неверный формат StormOnline Microsoft Windows 7 6 11-04-2012 07:32
D-Link - d-link 2540u хочу уточнить reddenya Сетевое оборудование 7 19-11-2009 09:49
куда надо обращаться если была попытка взлома Solo the human Защита компьютерных систем 7 13-01-2005 20:26




 
Переход