none
Странное имя пользователя. RRS feed

  • Вопрос

  • Добрый день! 

    В логах безопасности несколько раз зафиксировано два события:

     

    Тип события: Аудит отказов

    Источник события: Security

    Категория события: Account Logon 

    Код события: 680

    Дата: 27.01.2011

    Время: 14:03:55

    Пользователь: NT AUTHORITY\SYSTEM

    Компьютер: DC01

    Описание:

    Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

     Logon account: @@Bgyb7Zy7rqsx4NXtDpQGP23U5-DC

     Source Workstation: \\192.168.1.226

     Error Code: 0xC0000064

     

     

     

    Тип события: Аудит отказов

    Источник события: Security

    Категория события: Logon/Logoff 

    Код события: 529

    Дата: 27.01.2011

    Время: 14:03:55

    Пользователь: NT AUTHORITY\SYSTEM

    Компьютер: DC01

    Описание:

    Logon Failure:

      Reason: Unknown user name or bad password

      User Name: @@Bgyb7Zy7rqsx4NXtDpQGP23U5-DC

      Domain:

      Logon Type: 3

      Logon Process: NtLmSsp 

      Authentication Package: NTLM

      Workstation Name: \\192.168.1.226

      Caller User Name: -

      Caller Domain: -

      Caller Logon ID: -

      Caller Process ID: -

      Transited Services: -

      Source Network Address: 192.168.1.226

      Source Port: 0

     

    192.168.1.226 - рядовой сервер.

    Вопрос в следующем откуда может взяться такое имя пользователя (@@Bgyb7Zy7rqsx4NXtDpQGP23U5-DC), это заинтересовало наших безопасников? Естественно ни в AD ни в локальной SAM сервера такой учетки нет. 

    27 января 2011 г. 11:52

Ответы

  • Ну есть такая беда с попыткой аутентифицироваться смарт-картой без кербероса, NTLM-ом .)

    Просто кто-то, залогоненный смарт-картой на машине 192.168.1.226, пытался ткнуться на DC01 с помощью NTLM. Как такое получается - вам виднее, зная структуру сети и приложений. Может, ярлык какой-то на рабочем столе неправильный лежит.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    • Предложено в качестве ответа AndricoRusEditor 27 января 2011 г. 18:54
    • Помечено в качестве ответа Romank44 28 января 2011 г. 8:49
    27 января 2011 г. 17:19
    Отвечающий

Все ответы

  • проверяйте 192.168.1.226 на вирусы несколькими антивирусными средствами
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    27 января 2011 г. 14:49
  • смарт-картами там никто не пользуется?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    27 января 2011 г. 15:09
    Отвечающий
  • Да, вы правы, у нас почти все пользователи используют смарт-карты для авторизации.  Вы уже с подобным сталкивались? 

    На этом 192.168.1.226 сервере установлено Web-приложение с Windows-авторизацией и довольно высокой загрузкой, к тому же пользователи у нас используют несколько видов браузеров.

    27 января 2011 г. 17:07
  • Ну есть такая беда с попыткой аутентифицироваться смарт-картой без кербероса, NTLM-ом .)

    Просто кто-то, залогоненный смарт-картой на машине 192.168.1.226, пытался ткнуться на DC01 с помощью NTLM. Как такое получается - вам виднее, зная структуру сети и приложений. Может, ярлык какой-то на рабочем столе неправильный лежит.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    • Предложено в качестве ответа AndricoRusEditor 27 января 2011 г. 18:54
    • Помечено в качестве ответа Romank44 28 января 2011 г. 8:49
    27 января 2011 г. 17:19
    Отвечающий
  • Понятно, спасибо большое. Вы мне сильно помогли. Завтра продолжу разбираться, напишу о результатах.
    27 января 2011 г. 17:53
  • WindowsNT.LV, все указывает на то что вы оказались правы. В логах, ПО на 192.168.1.226 аутентифицирует пользователей через NTLM, и происходит это постоянно. Видимо переодически такие ошибки случаются, но раньше они не попадались на глаза.

    Еще раз, спасибо!

    28 января 2011 г. 9:09