none
NT Authority\ System удаляет учётные записи RRS feed

  • Общие обсуждения

  • Доброго дня.

    Сегодня в течении 30 секунд NT Authority\ System   удаляет учётные записи удалила более 30 учётных записей в домене.

    По логам именно NT Authority\ System  сделало это.

    Что произошло???




    Apr 13 16:20:16 172.16.*.* AgentDevice=WindowsLog    AgentLogFile=Security    PluginVersion=1.0.14    Source=Microsoft-Windows-Security-Auditing    Computer=dc*.*    User=     Domain=     EventID=4726    EventIDCode=4726    EventType=8    EventCategory=13824    RecordNumber=3865352008    TimeGenerated=1492078815    TimeWritten=1492078815    Message=A user account was deleted.  Subject:  Security ID:  NT AUTHORITY\SYSTEM  Account Name:  DC$  Account Domain:  local  Logon ID:  0x31db48003  Target Account:  Security ID

     


    13 апреля 2017 г. 11:26

Все ответы

  • Привет,

    У Вас один ДК? Если нет, то посмотрите на другом ДК, скорее всего на нем будет отображено правильное имя того кто удалил учетную запись


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    14 апреля 2017 г. 9:16
    Модератор
  • Привет,

    У Вас один ДК? Если нет, то посмотрите на другом ДК, скорее всего на нем будет отображено правильное имя того кто удалил учетную запись


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Нет, у нас их 3, но логи все сливаются на Qradar. Я пытался найти событие 4726 на КД, но их нет(((...Выдернул собития через powershell, но формат выода не показывает кто именно удалил. Использовал так:

    Get-EventLogsecurity|?{$_.eventid -eq4726}

    Только на одном КД были записи, на других ничего не выдал.

    Удаление произошло именно кем-то или система сбойнуть могла и по каким-то- причинам приняла такие решения об удалении? Или это не возможно в принципе. (Да, кстати у нас идёт внедрение SUDIR, может там собака порылась).






    17 апреля 2017 г. 3:14
  • > Удаление произошло именно кем-то или система сбойнуть могла и по каким-то- причинам приняла такие решения об удалении? Или это не возможно в принципе. (Да, кстати у нас идёт внедрение SUDIR, может там собака порылась).

    Ищите проблему либо в системе, либо в скриптах, которые могли что-то удалить, либо в ошибках сотрудников.

    "Само", "сбойнуть", это полная ерунда. Ответьте себе на вопрос, на вашем домашнем ПК файлы сами могут удалиться, или это дедка/внучка/жучка их удалили? Сервер в этом плане тоже подчиняется командам людей, а не темных сил.

    Вообще, для таких целей (разбор полетов) включается аудит, в котором все хорошо видно, кто и что сделал.

    18 апреля 2017 г. 17:15
  • > Удаление произошло именно кем-то или система сбойнуть могла и по каким-то- причинам приняла такие решения об удалении? Или это не возможно в принципе. (Да, кстати у нас идёт внедрение SUDIR, может там собака порылась).

    Ищите проблему либо в системе, либо в скриптах, которые могли что-то удалить, либо в ошибках сотрудников.

    "Само", "сбойнуть", это полная ерунда. Ответьте себе на вопрос, на вашем домашнем ПК файлы сами могут удалиться, или это дедка/внучка/жучка их удалили? Сервер в этом плане тоже подчиняется командам людей, а не темных сил.

    Вообще, для таких целей (разбор полетов) включается аудит, в котором все хорошо видно, кто и что сделал.

     

    >Вообще, для таких целей (разбор полетов) включается аудит, в котором все хорошо видно, кто и что сделал.

    Аудит включен. В логах указано только на Security ID:  NT AUTHORITY\SYSTEM.

    Всё больше никакой информации.

    Никаких скриптов для удаление не используется.

    19 апреля 2017 г. 3:10
  • >>Да, кстати у нас идёт внедрение SUDIR, может там собака порылась
    Я не знаю, что это такое, но похоже на какое-то решение idm. И если это так, и у вас при этом удаляются учетки, то почему вы ищите виновного, вроде очевидно все?:)
    Ну или надо прийти на контроллер домена, запустить процесс от system и удалять оттуда учетки - тоже вариант, только вот рассматривать нужно в первую очередь варианты, не так сильно оторванные от реальности.

    MCSAnykey

    19 апреля 2017 г. 4:07
  • >>Да, кстати у нас идёт внедрение SUDIR, может там собака порылась
    Я не знаю, что это такое, но похоже на какое-то решение idm. И если это так, и у вас при этом удаляются учетки, то почему вы ищите виновного, вроде очевидно все?:)
    Ну или надо прийти на контроллер домена, запустить процесс от system и удалять оттуда учетки - тоже вариант, только вот рассматривать нужно в первую очередь варианты, не так сильно оторванные от реальности.

    MCSAnykey

    Дело в том, что данное решение от ibm ставит на КД некий адаптер, который рабоатет из под local system. В момент обнуружения удаления, они не запускали данный софт (по их словам). Вчера, когда запуститли данное ПО,их адптер, рабоатя под local system не мог ни создовать ни удалять уч записи не хватало прав. Поэтому я ищу не виноватого, а хочу разобраться почему так получилось. Потому, что вопросы задают мне, почему уч записи удалились из под этой учетки и мне надо как -то это объяснить.

    Представляете ситуацию, приходит директор и спрашиваю почему наши учетки удалились? А у меня из данных только лог, что я привел выше...(((

    19 апреля 2017 г. 8:28
  • Ну прекрасно, что Вы это все видите. Логика подсказывает, что если система тихо лежала без движения, потом ее включили разово, и через двадцать минут исчезли 20 учеток- то виновата система. Восстанавливайте учетки из корзины AD (я надеюсь, она включена) и разбирайтесь дальше с этим софтом.

    19 апреля 2017 г. 8:37
  • кстати чой ито такое то и с чем его идят?
    мне гугель одних индусов подсовывает.
    19 апреля 2017 г. 8:50
  • кстати чой ито такое то и с чем его идят?
    мне гугель одних индусов подсовывает.

    SUDIR = Sistema Upravleniya Dostupom k Informatsionnym Resursam наверное:)

    MCSAnykey


    19 апреля 2017 г. 9:10
  • Ну прекрасно, что Вы это все видите. Логика подсказывает, что если система тихо лежала без движения, потом ее включили разово, и через двадцать минут исчезли 20 учеток- то виновата система. Восстанавливайте учетки из корзины AD (я надеюсь, она включена) и разбирайтесь дальше с этим софтом.

    Так в том -то и засада,  удаление произошло до включения. Я об этом писал. И вся ситуция вертится вокруг того, что не понятно кто именно использовал NT AUTHORITY\SYSTEM для удаления.

    Корзина у нас включена.

    20 апреля 2017 г. 4:22
  • К сожалению, больше так и не удалось узнать ничего(((