none
Блокировка учетки RRS feed

  • Общие обсуждения

  • Стал замечать что при удаленном подключении к домашнему пк (vista ultimate) во время работы стала постоянно блокироваться учетка и отрубается удаленка,повтороно подключаюсь - через некоторое время опять. Бывает часто,подряд..В чем дело?Контроль учетных я вроде выключил из консоли.
    Раньше таких проблем не было, и ничего нового не устанавливал и не обновлялся.
    9 ноября 2009 г. 10:16

Все ответы

  • На вирусы проверяли? Блокировкой учёток любит заниматься Conficker.


    С уважением, Максимов Сергей.
    9 ноября 2009 г. 10:20
  • да.проверял.Да у меня постоянный мониторинг каспером 2009

    9 ноября 2009 г. 10:29
  • Люди.., что ни у кого нет идей..?

    10 ноября 2009 г. 5:46
  • отчего же... есть
    например запускается задание с неправильным паролем...

    нужно включить аудит безопасности и посмотреть
    blog.wadmin.ru
    10 ноября 2009 г. 8:07
  • отчего же... есть
    например запускается задание с неправильным паролем...

    нужно включить аудит безопасности и посмотреть
    blog.wadmin.ru

    Мысль примерно понял,но можно по подробние
    10 ноября 2009 г. 10:08
  • есть некое запланированное задание которое запускается из под проблемной учетки.

    в свойствах задания указан неправильный пароль.

    1. посмотреть в запланированных заданиях
    2. включить аудит и посмотреть в логах журнала безопасности неудачные входы


    blog.wadmin.ru
    10 ноября 2009 г. 10:35
  • Добрый день..
    Последовав совету включил аудит и вот что увидел в логах безопасности.( по времени совпадает как раз , когда отключало)

    Аудит выполнен успешно  12.11.2009 11:37:25     Microsoft-Windows-Security-Auditing 4689      Завершение процесса     "Выполнен выход из процесса.

     

    Субъект:

          ИД безопасности:        xxxxxxx

          Имя учетной записи:          xxxxxxxx

          Домен учетной записи:       xxxxxxxxxx

          Код входа:        0x3e7

     

    Сведения о процессе:

          Идентификатор процесса: 0x1558

          Имя процесса:     C:\Windows\System32\dllhost.exe

          Состояние выхода: 0x0"


         

     

    Сведения о фильтре:

          Идентификатор выполнения фильтра:  0

          Имя уровня:       Получить/Принять

          Идентификатор выполнения уровня:   44"

    Аудит выполнен успешно  12.11.2009 11:37:56     Microsoft-Windows-Security-Auditing 4689      Завершение процесса     "Выполнен выход из процесса.

     

    Субъект:

          ИД безопасности:        XXXXXX\XXXXX

          Имя учетной записи:          XXXXX

          Домен учетной записи:        XXXXXXX

          Код входа:        0x210b3

     

    Сведения о процессе:

          Идентификатор процесса: 0x84c

          Имя процесса:     C:\Windows\System32\rundll32.exe

          Состояние выхода: 0x0"

     

    12 ноября 2009 г. 11:28
  • Буду очень благодарен, если кто-нибудь сможет пояснить по выше сказанному или по выложенному ничего нельзя сказать..?

    13 ноября 2009 г. 7:08
  • у вас не включен security аудит
    линк для win2000 но это справедливо и для других версий
    http://support.microsoft.com/kb/300549
    blog.wadmin.ru
    14 ноября 2009 г. 8:56
  • Да нет, он включен.Только я включил везде "успех", а надо было видимо "отказ" для неудачных входов..Сегодня включу правильно.

    16 ноября 2009 г. 12:54
  • именно отказ.

    отпишитесь о "находках"?
    blog.wadmin.ru
    16 ноября 2009 г. 13:23
  • отписываюсь о находках.
    Весь журнал в основном чередование

    Сбой аудита 17.11.2009 11:46:40     Microsoft-Windows-Security-Auditing 4656  Другие события доступа к объекту "Запрошен дескриптор объекта.

     

    Субъект:

          ИД безопасности:        LOCAL SERVICE

          Имя учетной записи:          LOCAL SERVICE

          Домен учетной записи:        NT AUTHORITY

          Код входа:        0x3e5

     

    Объект:

          Сервер объекта:         SC Manager

          Тип объекта:            SERVICE OBJECT

          Имя объекта:            Dnscache

          Код дескриптора:        0x0

     

    Сведения о процессе:

          Идентификатор процесса:      0x354

          Имя процесса:           C:\Windows\System32\services.exe

     

    Сведения о запросе на доступ:

          Код транзакции:         {00000000-0000-0000-0000-000000000000}

          Операции доступа:       Приостановка или возобновление службы

                      Выдача внутренних команд службы

                     

          Маска доступа:          0x140

          Привилегии, использованные для проверки доступа:     -

          Число ограниченных ИД безопасности: 0"


    и


    Сбой аудита 17.11.2009 11:46:54     Microsoft-Windows-Security-Auditing 5159  Подключение платформы фильтрации    "Платформа фильтрации IP-пакетов Windows заблокировала привязку к локальному порту.

     

    Сведения о приложении:

          Идентификатор процесса:      1304

          Имя приложения:   \device\harddiskvolume3\windows\system32\svchost.exe

     

    Сведения о сети:

          Адрес источника:        xxxxxxxxxx

          Порт источника:         68

          Протокол:         17

     

    tСведения о фильтре:

          Идентификатор выполнения фильтра:  0

          Имя уровня:       Назначение ресурсов

          Идентификатор выполнения уровня:   36"



    И еще всего пару раз  появляется:


    Сбой аудита 17.11.2009 11:49:50     Microsoft-Windows-Security-Auditing 4673  Использование прав, затрагивающее конфиденциальные данные    "Вызвана привилегированная служба.

     

    Субъект:

          ИД безопасности:        SYSTEM

          Имя учетной записи:          XXXXXXXXX

          Домен учетной записи:        WORKGROUP

          Код входа:        0x3e7

     

    Служба:

          Сервер:     Security Account Manager

          Имя службы: Security Account Manager

     

    Процесс:

          Идентификатор процесса: 0x360

          Имя процесса:     C:\Windows\System32\lsass.exe

     

    Сведения о запросе службы:

          Привилегии:       SeTcbPrivilege"

    Похоже дело в последнем..???

    17 ноября 2009 г. 10:17
  • возникает ощущение что дома и на удаленном ПК используются одинаковые учетные записи но с различными паролями...
    это так?
    blog.wadmin.ru
    17 ноября 2009 г. 10:50
  • нет.На работе своя доменновская учетка.

    17 ноября 2009 г. 11:26
  • Кстати, забыл упомянуть - как раз совпало так, что поменял провайдера на Авангард.

    17 ноября 2009 г. 11:35
  • давайте по пунктам
    1. Click on Start >> Run
    2.Type gpedit.msc3. Under Computer configuration click on windows settings >> Security Settings >> Audit policy
    4.From the list of Attributes displayed in the right pane, double-click Audit Logon Events. The Audit Logon Events dialog box appears.
    5. In the Audit Logon Events dialog box, click to select both the Audit these attempts: Success and Failed check boxes, and click OK.

    так же временно можно поднять уровень логирования всех остальных событий.

    то что вы приводили из лога ниочем не говорит (lsass повысил полномочия и все)

    вот еще линк
    http://technet.microsoft.com/ru-ru/library/cc787567%28WS.10%29.aspx
    пригодится для разбора лога
    blog.wadmin.ru
    17 ноября 2009 г. 11:42
  • Уровень логирования в политике аудита включил у всех отказ.
    Если хочешь, могу выложить тебе полный лог, скажи куда..

    17 ноября 2009 г. 11:54
  • не хочу. потому что только на отказ это маловато...

    методика поиска простая
    1. включаем расширенный аудит
    2. при блокировке учетной записи внимательно смотрим события за этот период.

    интересуют именно события которые предшествовали evetid 539 И 644

    необходимо искать событие 529 - logon failure


    blog.wadmin.ru
    17 ноября 2009 г. 12:06
  • Хорошо.Попробую сегодня включить и успех и отказ везде.
    Но в моем логе сейчас почему-то событий с трехзначными цифрами вообще нет...
    17 ноября 2009 г. 12:15
  • Пришел к выводу ,что журнал безопасности не фиксирует входы выходы вообще..( Нет трехзначных событий, только четырехзначные.)
    Аудит включен полный на все. ..Может какой-то сбой ведения журнала..не знаю.. В фильтре тоже проверил- должен все фиксировать.
    В приложениях:
    Пишет про по , через которое подключаюсь:

    Сведения    18.11.2009 11:39:58     Desktop Window Manager  9011  Отсутствует Не удается запустить диспетчер окон рабочего стола, так как драйвер зеркалирования занят



    Сведения    18.11.2009 11:39:58     Desktop Window Manager  9007  Отсутствует Не удается запустить диспетчер окон рабочего стола, так как WDDM не используется

    Короче..неужели переустановка..

     

    18 ноября 2009 г. 10:32
  • Пробывал еще это

    http://www.lanpolis.ru/man/subscribers/recomendation_lanpolis/steps/

    Действительно у меня был включен IPv6 - снял галку..не помогло - может выключить полностью поддержку IPv6 через реестр..

    18 ноября 2009 г. 10:38