компьютер попытался проверить учетные данные учетной записи

Компьютер попытался проверить учетные данные учетной записи

Сообщения: 14
Благодарности: 0

Включил аудит входа в систему и аудит событий входа в систему.
Теперь видна такая последовательность:

Фиксируются несколько событий Аудита Отказа Event 4776 Credential validation, например:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 20.04.2020 14:04:47
Код события: 4776
Категория задачи:Credential Validation
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Bigbro
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ЮЛИАН
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:

4776
0
0
14336
0
0x8010000000000000

1411013

Security
Bigbro

MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
ЮЛИАН

0xc0000064

в каждом из событий разные имена пользователей, похоже на часто используемые, но явно не мои, например
Demo
ЮЛИАН
administrator
bar
Office1
Гость
GLAVBUH
БАЗА2

далее идет Аудит отказа, событие Logon 4625, с соответсвующим именем пользователя

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 20.04.2020 14:14:07
Код события: 4625
Категория задачи:Logon
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Bigbro
Описание:
Учетной записи не удалось выполнить вход в систему.

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: БАЗА2
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного сеансового ключа. Это поле может иметь значение «0», если сеансовый ключ не запрашивался.
Xml события:

В тот момент когда идет попытка под Гостем, фикируется аудит успеха (вход), а потом аудит успеха (выход) который как раз я описал в первом сообщении.
Как можно попытаться найти источник этой гадости?

UPD!!
Проблема найдена. На роутере был проброшен 3389 в сторону компа. Соответсвенно видим обычный брутфорс RDP.
Видимо просто под гостем у них авторизация срабатывала, поэтому фиксировался аудит выхода который по дефолту пишется в журнал. Но под гостем RDP нельзя, так что перебор шел дальше..

Источник

Компьютер попытался проверить учетные данные учетной записи

trans

Вопрос

trans

trans

Добрый день. Сегодня на контроллере домена в журнале аудита стали фиксироваться следующие события:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:24:36
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: JACK
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:

4776
0
0
14336
0
0x8010000000000000

479489427

Security
DC.DOMAIN.METIZ.RU

MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
JACK

0xc0000064

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:38:19
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ZAKAZ
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:

4776
0
0
14336
0
0x8010000000000000

479490763

Security
DC.DOMAIN.METIZ.RU

MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
ZAKAZ

0xc0000064

И так постоянно идет перебор разных несуществующих учеток. Что идет перебор не из вне уверен на 100%. Как определить компьютер, с которого происходит подбор?

Заметил. Подбор имен идет строго по алфавиту.

Источник

4776 (S, F): компьютер попытался проверить учетные данные для учетной записи.

Описание события:

Это событие создает каждый раз, когда проверка учетных данных происходит с помощью проверки подлинности NTLM.

Это событие происходит только на компьютере, который является авторитетным для предоставленных учетных данных. Для учетных записей домена контроллер домена является авторитетным. Для локальных учетных записей локальный компьютер является авторитетным.

В нем показаны успешные и неудачные попытки проверки учетных данных.

В нем показано только имя компьютера (Source Workstation), с которого была выполнена попытка проверки подлинности (источник проверки подлинности). Например, при проверке подлинности от CLIENT-1 до SERVER-1 с помощью учетной записи домена вы увидите CLIENT-1 в поле Source Workstation. Сведения о компьютере назначения (SERVER-1) не представлены в этом событии.

В случае сбоя попытки проверки учетных данных вы увидите событие с ошибкой со значением параметра Код ошибки, не равное «0x0».

Основное преимущество этого события заключается в том, что на контроллерах домена можно увидеть все попытки проверки подлинности для учетных записей домена при проверке подлинности NTLM.

Для мониторинга попыток логоса локальной учетной записи лучше использовать событие»4624:учетная запись была успешно зарегистрирована», так как она содержит дополнительные сведения и более информативна.

Это событие также создается, когда происходит событие разблокировки рабочей станции.

Это событие не создается при локальном входе учетной записи домена в контроллер домена.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.

XML события:

Необходимые роли сервера: никаких особых требований.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии события: 0.

Описания полей:

**** Примечание Пакет проверки подлинности — это DLL, инкапсулирует логику проверки подлинности, используемую для определения того, следует ли разрешить пользователю войти в систему. Local Security Authority (LSA) сдает проверку подлинности логотипа пользователя, отправляя запрос в пакет проверки подлинности. Затем пакет проверки подлинности проверяет сведения о логотипе и проверяет или отклоняет попытку логоса пользователя.

Учетная запись Logon [Type = UnicodeString]: имя учетной записи, которая была проверена пакетом проверки подлинности. Может быть имя пользователя, имя учетной записи компьютера или хорошо известное имя основной учетной записи безопасности. Примеры:

Пример пользователя: dadmin

Пример учетной записи компьютера: WIN81$

Пример учетной записи локальной системы: Локальный

Пример учетной записи локальной службы: локализованная служба

Source Workstation [Type = UnicodeString]: имя компьютера, с которого возникла попытка логотипа.

Код ошибки [Type = HexInt32]: содержит код ошибки для событий сбоя. Для событий success этот параметримеет значение 0x0«. В таблице ниже приведены наиболее распространенные коды ошибок для этого события:

Код ошибки Описание
0xC0000064 Имя пользователя, впечатанный вами, не существует. Плохое имя пользователя.
0xC000006A Логотип учетной записи с ошибкой или плохим паролем.
0xC000006D — Сбой общего логотипа.
Некоторые из возможных причин для этого:
Было использовано имя пользователя и/или пароль, недействительный
Несоответствие уровня проверки подлинности lan Manager между исходным и целевым компьютерами.
0xC000006F Логотип учетной записи за пределами разрешенных часов.
0xC0000070 Логотип учетной записи с несанкционированной рабочей станции.
0xC0000071 Логотип учетной записи с истекшим паролем.
0xC0000072 Логотип учетной записи для учетной записи отключен администратором.
0xC0000193 Логотип учетной записи с просроченной учетной записью.
0xC0000224 Логотип учетной записи с флагом «Изменение пароля в следующем логотипе».
0xC0000234 Логотип учетной записи с заблокированной учетной записью.
0xC0000371 Локальный магазин учетных записей не содержит секретных материалов для указанной учетной записи.
0x0 Никаких ошибок.

Таблица 1: Коды ошибок Winlogon.

Рекомендации по контролю безопасности

Для 4776 (S, F): компьютер попытался проверить учетные данные для учетной записи.

Тип требуемого мониторинга Рекомендации
Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие.
Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т. д.
Отслеживайте это событие с помощью учетной записи Logon, соответствующей учетной записи или учетной записи с высокой стоимостью.
Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время. При отслеживании аномалий или вредоносных действий используйте значение «Logon Account» (с другими сведениями), чтобы отслеживать, как или когда используется определенная учетная запись.
Чтобы отслеживать активность определенных учетных записей пользователей вне рабочих часов, отслеживайте соответствующие пары учетных записей Logon + Source Workstation.
Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться. Отслеживайте это событие с помощью «Учетной записи Logon», которую нельзя использовать.
Список разрешенных учетных записей: возможно, у вас есть список разрешенных учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям. Если это событие соответствует действию «разрешить только список», просмотрите «Учетная запись Logon» для учетных записей, не вполне допустимых.
Компьютеры с ограниченным использованием. Возможно, у вас есть определенные компьютеры, с которых определенные люди (учетные записи) не должны входить в систему. Отслеживайте целевые исходные рабочие станции для запросов проверки учетных данных из «Учетной записи Logon», которую вы беспокоите.
Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей. Отслеживайте «Учетную запись логона» для имен, не соответствующих конвенциям имен.

Если проверку подлинности NTLM не следует использовать для определенной учетной записи, отслеживайте эту учетную запись. Не забывайте, что локальный логотип всегда будет использовать проверку подлинности NTLM, если учетная запись входит в устройство, на котором хранится учетная запись пользователя.

Это событие можно использовать для сбора всех попыток проверки подлинности NTLM в домене, если это необходимо. Не забывайте, что локальный логотип всегда будет использовать проверку подлинности NTLM, если учетная запись входит в устройство, на котором хранится учетная запись пользователя.

Если локальная учетная запись должна использоваться только локально (например, не разрешен логотип сетевых или терминальных **** служб), необходимо отслеживать все события, в которых исходные рабочие станции и компьютеры (где событие было сгенерировано и где хранятся учетные данные) имеют разные значения.

Рассмотрите возможность отслеживания следующих ошибок по указанным ниже причинам:

Источник

Компьютер попытался проверить учетные данные учетной записи

trans

Question

trans

trans

В последние дни наблюдаю возросшую блокировку учетных записей в результате применения политики учетных записей в AD. Но с одним пользователем имею проблему. Учетная запись блокируется несколько раз за день. Провели антивирусную проверку, очистили кэш паролей, удалили все лишние программы. Но найти причину блокировки так и не смог. Использование утилиты Netwrix Account Lockout Examiner также не дало ответ на причины блокировки.

До достижения предела числа сбойных попыток входа в журнале событий периодически регистрируется событие:

Источник: Microsoft Windows security auditing.

Категория: Проверка учетных данных

Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC000006A

Далее учетная запись блокируется. Регистрируется сообщение в журнале событий:

Источник: Microsoft Windows security auditing.
Категория: Управление учетными записями
ID: 4740
Заблокирована учетная запись пользователя.

Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: SRV-AD1$
Домен учетной записи: SFH
Идентификатор входа: 0x3E7

Заблокированная учетная запись:
Идентификатор безопасности: SFH\Baranova
Имя учетной записи: Baranova

Дополнительные сведения:
Имя вызывающего компьютера: PC-BARANOVA3

В дальнейшем до разблокировки учетной записи периодически регистрируется ошибка:

Источник: Microsoft Windows security auditing.
Категория: Проверка учетных данных
ID: 4776
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC0000234

На рабочей станции (Windows 7 Pro SP1) в журнале регистрируется ошибка:

Источник: Microsoft Windows security auditing.
Категория: Вход в систему
ID: 4625
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: PC-BARANOVA3$
Домен учетной записи: SFH
Код входа: 0x3e7

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Baranova
Домен учетной записи: SFH

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x298
Имя процесса вызывающей стороны: C:\Windows\System32\winlogon.exe

Сведения о сети:
Имя рабочей станции: PC-BARANOVA3
Сетевой адрес источника: 127.0.0.1
Порт источника: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.

Может быть кто-нибудь кто-нибудь подскажет, как найти источник проблемы.

Источник

Компьютер попытался проверить учетные данные учетной записи

Этот форум закрыт. Спасибо за участие!

trans

Спрашивающий

trans

Общие обсуждения

trans

trans

Всем доброго времени суток. Есть ряд рабочих станций Windows7 в домене. На каждй из них заведён локальный администратор. Доступ к стандартному общему ресурсу через администратора домена работает. Но если пытаюсь зайти через лок. администратора: имя_компьютера\Администратор, не пускает, причём пароль вводится 100% правильно (проверял локально). Тип аутентификации вроде как и там и там NTLM. Учётную запись гостя включать не собираюсь. Вот кусок лога после неудачной попытки входа:

4776:

Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Учетная запись входа: Администратор

Исходная рабочая станция: MYCOMP

Код ошибки: 0xc000006a

4625:

Учетной записи не удалось выполнить вход в систему.

Субъект:

ИД безопасности: NULL SID

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:

ИД безопасности: NULL SID

Имя учетной записи: Администратор

Домен учетной записи: PROBLEM_COMP

Сведения об ошибке:

Причина ошибки: Неизвестное имя пользователя или неверный пароль.

Сведения о процессе:

Идентификатор процесса вызывающей стороны: 0x0

Сведения о сети:

Имя рабочей станции: MYCOMP

Сетевой адрес источника: 1.1.1.140

Порт источника: 61509

Сведения о проверке подлинности:

Источник

Поделиться с друзьями
DOMA35.RU