код входа 0x3e7 что это
Код входа 0x3e7 что это
Вопрос
Добого времени суток, коллеги.
В журнал безопасности на наших 2-х серверах Exchange каждые 30 секунд высыпается несколько подобных сообщений:
Ответы
и решения пока нет.
Сазонов Илья http://isazonov.wordpress.com/
Все ответы
должно вам помочь найти источник
Сазонов Илья http://isazonov.wordpress.com/
должно вам помочь найти источник
Пока могу только понять, что один из процессов IIS стучится в какую-то отключенную учетку 🙂
Сазонов Илья http://isazonov.wordpress.com/
Код входа 0x3e7 что это
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.
Просто в это время офис закрыт, никто не работает.
Вот скрин одного такого входа:
Ответы
Тип входа: 5 означает, что это вход службы.
Тип 2 это локальный вход
Тип 3 это вход по сети.
Все ответы
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
аutobuh, думаю, не стоит волноваться. Все у Вас нормально. Это стандартные ивенты.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
Там только одна наша обработка стоит на 12-30
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
Имя журнала: Security
Подача: Microsoft-Windows-Security-Auditing
Дата: 09.06.2014 0:19:29
Код события: 4672
Категория задачи: Специальный вход
Уровень: Сведения
Ключевые слова: Аудит выполнен успешно
Пользователь: Н/Д
Компьютер: Server
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Тип входа: 5
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Тема: На комп постоянно заходят по сети
Опции темы
Прошу Вашей помощи в подсказке: какую софтину можно поставить, чтобы в логи записывалось, с какого айпи по сети ко мне зашли? Очень надо, друзяки.
Прошу за подобный вопрос сильно не пинать. Всем спасибо за внимание и за ответы.
Что значит заходят? Как вы это поняли? Т.е. обоснуйте что происходит. Также понять бы по какой сети
по LAN’у, через инет? Или по wi-fi?
IP сильно напоминает локальный, попробуйте сменить имя рабочей группы(придумайте позаковыристее),
в которую входит комп. Не ставьте общий доступ к папкам.
В сетях я не сильно рублю, но это первое что сделал бы, также проверьте на руткиты, скачайте с
сайта касперского бесплатную утилиту для проверки и протестируйте комп ею.
Хорошо бы посмотреть, работают ли следующие службы:
если будете выключать, то не все сразу, а по одной, выключили и посмотрели, что происходит, проанализировали, через недельку следующую.
Адреса вида 192.168.1.X относятся к вашей локальной сети. Раз у вас у ноута и компа два разных адреса, соответственно 2-ой и 3-ий в вашей локальной сети. Сделовательно у вас не просто модем, а роутер. Далее надо понять как у вас присвается IP адрес, т.е. вы сами его жестко руками установили или он всякий раз автоматически выдается DHCP сервером. Постмотрите сетевые настройки и скажите как у вас настроен IP адрес.
Друзья, глянул в «Аудит безопасности» на компе. Выдало такое:
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности
Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы
Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в систему
В 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:
Вкладка «Общие»:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
[ Name] Microsoft-Windows-Security-Auditing
[ Guid]
4672(S): Специальные привилегии, присвоенные новому логотипу.
Описание события:
Это событие создает для новых логотипов учетных записей, если какие-либо из следующих конфиденциальных привилегий назначены на новый сеанс логотипа:
SeTcbPrivilege — act как часть операционной системы
SeBackupPrivilege — архивация файлов и каталогов
SeCreateTokenPrivilege — создание объекта маркера
SeDebugPrivilege — отлаживка программ
SeEnableDelegationPrivilege — позволяет доверять учетным записям компьютера и пользователей для делегирования
SeAuditPrivilege — создание аудита безопасности
SeImpersonatePrivilege — выдают себя за клиента после проверки подлинности
SeLoadDriverPrivilege — драйверы загрузки и разгрузки устройств
SeSecurityPrivilege — управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege — изменение значений среды прошивки
SeAssignPrimaryTokenPrivilege — замена маркера уровня процессов
SeRestorePrivilege — восстановление файлов и каталогов,
SeTakeOwnershipPrivilege — владение файлами или другими объектами
Как правило, многие из этих событий можно увидеть в журнале событий, так как каждый логотип учетной записи SYSTEM (Local System) запускает это событие.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которой были назначены специальные привилегии.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Privileges [Type = UnicodeString]: список конфиденциальных привилегий, присвоенных новому логотипу. В следующей таблице содержится список возможных привилегий для этого события:
| Имя привилегий | Имя политики правой группы пользователя | Описание |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | Замена маркера уровня процессов | Необходимо назначить основной маркер процесса. С помощью этой привилегии пользователь может инициировать процесс замены маркера по умолчанию, связанного с запущенным подпроцессом. |
| SeAuditPrivilege | Создание аудитов безопасности | С помощью этой привилегии пользователь может добавлять записи в журнал безопасности. |
| SeBackupPrivilege | Архивация файлов и каталогов | — Требуется для выполнения операций резервного копирования. С помощью этой привилегии пользователь может обходить файлы и каталоги, реестр и другие постоянные разрешения объекта для создания системы. Эта привилегия заставляет систему предоставлять все возможности управления доступом для чтения любому файлу независимо от списка управления доступом ** (ACL), заданного для файла. Любой запрос доступа, кроме чтения, по-прежнему оценивается с помощью ACL. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE |
| SeCreateTokenPrivilege | Создание маркерного объекта | Позволяет процессу создать маркер, который он может использовать для получения доступа к любым локальным ресурсам, когда в процессе используются API NtCreateToken или другие API создания маркеров. Если для процесса требуется эта привилегия, рекомендуется использовать учетную запись LocalSystem (которая уже включает эту привилегию), а не создавать отдельную учетную запись пользователя и назначать ее. |
| SeDebugPrivilege | Отладка программ | Требуется отламывка и настройка памяти процесса, который принадлежит другой учетной записи. С помощью этой привилегии пользователь может прикрепить отладка к любому процессу или к ядру. Рекомендуется всегда предоставлять SeDebugPrivilege администраторам и только администраторам. Разработчики, отладившие собственные приложения, не нуждаются в этом праве пользователя. Разработчики, отладившие новые компоненты системы, нуждаются в этом праве пользователя. Это право пользователя обеспечивает полный доступ к чувствительным и критически важным компонентам операционной системы. |
| SeEnableDelegationPrivilege | Разрешение доверия к учетным записям компьютеров и пользователей при делегировании | Необходимо отметить учетные записи пользователей и компьютеров как доверенные для делегирования. С помощью этой привилегии пользователь может установить параметр доверенныхдля делегирования ation на объекте пользователя или компьютера. Пользователь или объект, который получает эту привилегию, должен иметь доступ к флагам управления учетной записью на объекте пользователя или компьютера. Серверный процесс, работающий на компьютере (или в контексте пользователя), которому доверяется делегирование, может получать доступ к ресурсам на **** другом компьютере с помощью делегирования учетных данных клиента, если учетная запись клиента не имеет учетной записи, не может быть делегирована флаг управления учетной записью. |
| SeImpersonatePrivilege | Имитация клиента после проверки подлинности | С помощью этой привилегии пользователь может выдать себя за другие учетные записи. |
| SeLoadDriverPrivilege | Загрузка и выгрузка драйверов устройств | Требуется загрузить или выгрузить драйвер устройства. С помощью этой привилегии пользователь может динамически загружать и разгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug и Play. |
| SeRestorePrivilege | Восстановление файлов и каталогов | Необходимые для выполнения операций восстановления. Эта привилегия заставляет систему предоставлять все управление доступом к записи любому файлу, независимо от ACL, указанного для файла. Любой запрос доступа, кроме записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет установить любого допустимого пользователя или группу SID в качестве владельца файла. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY DELETE С помощью этой привилегии пользователь может обходить разрешения файлов, каталогов, реестров и других постоянных объектов при восстановлении архивных файлов и каталогов и определяет, какие пользователи могут установить любого допустимого директора безопасности в качестве владельца объекта. |
| SeSecurityPrivilege | Управление журналом аудита и безопасности | Требуется выполнять ряд функций, связанных с безопасностью, таких как управление и просмотр событий аудита в журнале событий безопасности. С помощью этой привилегии пользователь может указать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и клавиши реестра. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности. |
| SeSystemEnvironmentPrivilege | Изменение параметров среды изготовителя | Требуется изменить невольную оперативную память систем, которые используют этот тип памяти для хранения сведений о конфигурации. |
| SeTakeOwnershipPrivilege | Смена владельцев файлов и других объектов | Обязательное право собственности на объект без предоставления дискреционного доступа. Эта привилегия позволяет задать значение владельца только тем значениям, которые владелец может законно назначить в качестве владельца объекта. С помощью этой привилегии пользователь может взять на себя ответственность за любой объект в системе, в том числе объекты Active Directory, файлы и папки, принтеры, ключи реестра, процессы и потоки. |
| SeTcbPrivilege | Работа в режиме операционной системы | Эта привилегия определяет своего владельца как часть надежной компьютерной базы. Это право пользователя позволяет процессу выдать себя любому пользователю без проверки подлинности. Таким образом, этот процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. |
Рекомендации по контролю безопасности
Для 4672 (S): Специальные привилегии, присвоенные новому логотипу.
Монитор этого события, в котором «Subject\Security ID» не является одним из этих известных принципов безопасности: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, и где «Subject\Security ID» не является административной учетной записью, которая, как ожидается, будет иметь перечисленные привилегии. **
Если у вас есть список определенных привилегий, которые никогда не должны предоставляться или предоставляться только нескольким учетным записям (например, SeDebugPrivilege), используйте это событие для мониторинга этих «привилегий».
Код входа 0x3e7 что это
Вопрос
В последние дни наблюдаю возросшую блокировку учетных записей в результате применения политики учетных записей в AD. Но с одним пользователем имею проблему. Учетная запись блокируется несколько раз за день. Провели антивирусную проверку, очистили кэш паролей, удалили все лишние программы. Но найти причину блокировки так и не смог. Использование утилиты Netwrix Account Lockout Examiner также не дало ответ на причины блокировки.
До достижения предела числа сбойных попыток входа в журнале событий периодически регистрируется событие:
Источник: Microsoft Windows security auditing.
Категория: Проверка учетных данных
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC000006A
Далее учетная запись блокируется. Регистрируется сообщение в журнале событий:
Источник: Microsoft Windows security auditing.
Категория: Управление учетными записями
ID: 4740
Заблокирована учетная запись пользователя.
Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: SRV-AD1$
Домен учетной записи: SFH
Идентификатор входа: 0x3E7
Заблокированная учетная запись:
Идентификатор безопасности: SFH\Baranova
Имя учетной записи: Baranova
Дополнительные сведения:
Имя вызывающего компьютера: PC-BARANOVA3
В дальнейшем до разблокировки учетной записи периодически регистрируется ошибка:
Источник: Microsoft Windows security auditing.
Категория: Проверка учетных данных
ID: 4776
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC0000234
На рабочей станции (Windows 7 Pro SP1) в журнале регистрируется ошибка:
Источник: Microsoft Windows security auditing.
Категория: Вход в систему
ID: 4625
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: PC-BARANOVA3$
Домен учетной записи: SFH
Код входа: 0x3e7
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Baranova
Домен учетной записи: SFH
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x298
Имя процесса вызывающей стороны: C:\Windows\System32\winlogon.exe
Сведения о сети:
Имя рабочей станции: PC-BARANOVA3
Сетевой адрес источника: 127.0.0.1
Порт источника: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Может быть кто-нибудь кто-нибудь подскажет, как найти источник проблемы.