none
2008 R2 - Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка RRS feed

  • Общие обсуждения

  • Доброе время суток. Имеется Windows Srv 2008 R2 std, КД, ДНС, DHCP, файловый сервер, Сервер 1С. В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. Хочу уточнить: я правильно понимаю, что что-то пытается подобрать пароль и учетку, запускаясь непосредственно на сервере:

    Имя журнала: Security
    Источник: Microsoft-Windows-Security-Auditing
    Дата: 27.12.2018 6:53:55
    Код события: 4776
    Категория задачи:Проверка учетных данных
    Уровень: Сведения
    Ключевые слова:Аудит отказа
    Пользователь: Н/Д
    Компьютер: SRVR.ks.local
    Описание:
    Компьютер попытался проверить учетные данные учетной записи.

    Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: DOWNLOAD
    Исходная рабочая станция:
    Код ошибки: 0xc0000064
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4776</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>14336</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2018-12-27T00:53:55.355391900Z" />
    <EventRecordID>201273195</EventRecordID>
    <Correlation />
    <Execution ProcessID="792" ThreadID="25884" />
    <Channel>Security</Channel>
    <Computer>SRVR.ks.local</Computer>
    <Security />
    </System>
    <EventData>
    <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
    <Data Name="TargetUserName">DOWNLOAD</Data>
    <Data Name="Workstation">
    </Data>
    <Data Name="Status">0xc0000064</Data>
    </EventData>
    </Event>

    27 декабря 2018 г. 5:14

Все ответы

  • Ошибка говорит о несуществующем имени пользователя.

    https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4776

    27 декабря 2018 г. 6:20
  • Alexey Klimenko - есть события с существующими учетками . Меня больше интересует - то, что пыталось под этой учеткой получить доступ - откуда запускается - на сервере или нет ?

    27 декабря 2018 г. 6:28
  • А вы логи RDP посмотрите в этот момент. Если там есть попытки входа в это же время, то значит с других хостов подключаются. 

    Здесь подробнее расписано - http://winitpro.ru/index.php/2018/09/25/analizing-rdp-logs-windows-terminal-rds/

    27 декабря 2018 г. 6:44
  • Alexey Klimenko - есть события с существующими учетками . Меня больше интересует - то, что пыталось под этой учеткой получить доступ - откуда запускается - на сервере или нет ?

    <Data Name="TargetUserName">DOWNLOAD</Data>
    <Data Name="Workstation">
    </Data>
    <Data Name="Status">0xc0000064</Data>
    </EventData>
    </Event>

    В журнале нет имени машины, с которой была произведена попытка аутентификации. Следовательно, она не локальная. Вы это можете легко проверить, запустив клиент 1С и набрав неверный пароль. Увидите имя машины, с которой подключаетесь.

    27 декабря 2018 г. 6:51
  • Меня смутила строка <Computer>SRVR.ks.local</Computer> - т.е. я подумал что  раз в событии имя сервера, то что-то запустилось  на нем и попробовало подобрать логин/пароль.
    27 декабря 2018 г. 7:53
  • Alexey Klimenko  - ссылка в вашей статье не отображает факты неуспешных попыток входа на RDP:

    1. Журнал Terminal-Services-RemoteConnectionManager регистрирует только успешные попытки входа (событие 1149), неуспешные не регистрирует


    2. Журнал "Безопасность" не регистрирует попытки входа через RDP по событию 4625. Проверял просто - поставил фильтр по данному коду, специально попытался зайти по RDP на сервер с неверным паролем, проверил журнал - соответствующего события нет.

    3. Журнал TerminalServices-LocalSessionManager регистрирует события отключения, выхода, переподключения, но не ошибок входа

    - Т.е. статья которую вы дали, конечно полезная, но в ней нет проверенной информации где смотреть неудачные попытки входа по RDP. Если вы сами знаете как это посмотреть, напишите пожалуйста.


    27 декабря 2018 г. 8:31
  • Поправка, по безопасности и событию 4625, ошибся, события такие есть, но нет событий с кодом 10 (терминальный вход), есть события с кодом 3. Этот код что означает, не в курсе ? Процесс входа - NtLmSsp  - это значит идет попытка входа по сети ?
    28 декабря 2018 г. 3:35