none
Политика Аудита (Вход,выход,вход,выход) RRS feed

  • Вопрос

  • аудит отказа

             

    Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: OPERATOR5$
    Домен учетной записи: ---

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xc000006d
    Подсостояние: 0xc0000064

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции: OPERATOR5
    Сетевой адрес источника: ---
    Порт источника: 57989

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp 
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.



    ---


    + System 

      - Provider 

       [ Name]  Microsoft-Windows-Security-Auditing 
       [ Guid]  {---} 
     
       EventID 4625 
     
       Version 0 
     
       Level 0 
     
       Task 12544 
     
       Opcode 0 
     
       Keywords 0x8010000000000000 
     
      - TimeCreated 

       [ SystemTime]  2012-10-22T08:15:17.065064600Z 
     
       EventRecordID 3746764 
     
       Correlation 
     
      - Execution 

       [ ProcessID]  588 
       [ ThreadID]  768 
     
       Channel Security 
     
       Computer ---
     
       Security 
     

    - EventData 

      SubjectUserSid S-1-0-0 
      SubjectUserName - 
      SubjectDomainName - 
      SubjectLogonId 0x0 
      TargetUserSid S-1-0-0 
      TargetUserName OPERATOR5$ 
      TargetDomainName ---
      Status 0xc000006d 
      FailureReason %%2313 
      SubStatus 0xc0000064 
      LogonType 3 
      LogonProcessName NtLmSsp  
      AuthenticationPackageName NTLM 
      WorkstationName OPERATOR5 
      TransmittedServices - 
      LmPackageName - 
      KeyLength 0 
      ProcessId 0x0 
      ProcessName - 
      IpAddress 192.168.1.54 
      IpPort 57989 

    2 компьютера просто взбесились! Пытаются войти,хотя они уже вошли и получили билеты!

    Аналогичная ситуация только со входом! 


    • Изменено AlexDarkk1 22 октября 2012 г. 11:15
    22 октября 2012 г. 8:40