код события 5379 windows 10
Код события 5379 windows 10
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день. Просматривая журналы безопасности заметил много Аудитов отказа.
В чем может быть проблема?
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 06.04.2018 22:19:15
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: BUX.domen.local
Описание:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: DOMEN\Администратор
Имя учетной записи: Администратор
Домен учетной записи: DOMEN
Код входа: 0x3cdd76d7
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Гость
Домен учетной записи: BUX
Сведения об ошибке:
Причина ошибки: В настоящее время учетная запись отключена.
Состояние: 0xc000006e
Подсостояние: 0xc0000072
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x9224
Имя процесса вызывающей стороны: C:\Windows\explorer.exe
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).
Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.
Таким образом, точная идентификация версии операционной системы Windows должна быть очень тщательно продумана при разработке цифрового процесса компьютерно-технической экспертизы, основанного на журналах событий (event logs).
Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
\%SystemRoot%\System32\Config\*.evt
Windows Vista/7/Server2008/10/Server2012/Server2016:
\%SystemRoot%\System32\winevt\Logs\*.evtx
Application Events (События приложения):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
Hardware Events (Аппаратные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\HardwareEvents
Security Events (События безопасности):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
System Events (Системные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System
Когда используется пользовательский путь, ключ создается в месте реестра:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\[logname]
(например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)
Код события 5379 windows 10
Вопрос
Добрый день. Сегодня на контроллере домена в журнале аудита стали фиксироваться следующие события:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:24:36
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: JACK
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:
4776
0
0
14336
0
0x8010000000000000
479489427
Security
DC.DOMAIN.METIZ.RU
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
JACK
0xc0000064
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:38:19
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ZAKAZ
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:
4776
0
0
14336
0
0x8010000000000000
479490763
Security
DC.DOMAIN.METIZ.RU
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
ZAKAZ
0xc0000064
И так постоянно идет перебор разных несуществующих учеток. Что идет перебор не из вне уверен на 100%. Как определить компьютер, с которого происходит подбор?
Заметил. Подбор имен идет строго по алфавиту.
10 критически важных event ID для мониторинга
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Понимание событий Application Control
Политика Защитник Windows управления приложениями (WDAC) регистрит события локально в Windows в режиме принудительного или аудита. Эти события создаются в двух расположениях:
Коды событий, начиная с 30, отображаются в журналах приложений и служб **** > Microsoft > Windows > CodeIntegrity > Operational
ИД событий, начиная с 80, отображаются в журналах приложений и служб **** > Microsoft > Windows > AppLocker > MSI и Script
Эти ID событий не применяются в Windows Server Core edition.
Код Windows CodeIntegrity Operational log ID
| Код события | Объяснение |
|---|---|
| 3076 | Файл аудита, исполняемый/dll |
| 3077 | Файл block executable/dll |
| 3089 | Подписание информационного события коррелирует с событием 3076 или 3077. Для каждой подписи файла создается одно событие 3089. Содержит общее количество подписей в файле и индекс, какой подписью он является. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Коррелирует в «Системе» часть данных событий в статье «Корреляция activityID». |
| 3099 | Указывает, что политика загружена |
Microsoft Windows MSI AppLocker и ИД журнала скриптов
| Код события | Объяснение |
|---|---|
| 8028 | Сценарий аудита и MSI Windows политика блокировки (WLDP), вызванная самими хостами сценария. Примечание. В сторонних сценариях не существует правоприменения WDAC. |
| 8029 | Файл block script/MSI |
| 8036 | Объект COM был заблокирован. Дополнительные информацию о авторизации объектов COM см. в приложении Allow COM object registration in a Защитник Windows Application Control. |
| 8038 | Подписание информационного события коррелирует с событием 8028 или 8029. Для каждой подписи файла скрипта создается одно событие 8038. Содержит общее количество подписей в файле скрипта и индекс того, какая подпись это. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Коррелирует в «Системе» часть данных событий в статье «Корреляция activityID». |
Необязательный интеллектуальный Graph безопасности (ISG) или управляемый установщик (MI) диагностические события
Если в политике WDAC включено либо isG, либо MI, вы можете по желанию включить события 3090, 3091 и 3092 для предоставления дополнительных диагностических сведений.
| Код события | Объяснение |
|---|---|
| 3090 | Разрешить файл исполняемого/dll |
| 3091 | Файл аудита, исполняемый/dll |
| 3092 | Файл block executable/dll |
События 3090, 3091 и 3092 создаются на основе кода состояния, который зависит от того, прошел ли двоичный код политику независимо от того, какую репутацию он получил и был ли разрешен назначенным mi. Шаблон SmartLocker, который отображается в событии, должен указывать причины сбой/сбой двоичного кода. Только одно событие создается на двоичный пропуск/сбой. Если и ISG, и MI отключены, события 3090, 3091 и 3092 не будут созданы.
Шаблон SmartLocker
Ниже приведены поля, которые помогают диагностировать, что указывает событие 3090, 3091 или 3092.
| Имя | Объяснение |
|---|---|
| StatusCode | STATUS_SUCCESS указывает, что двоичный код прошел активные политики WDAC. Если это так, создается событие 3090. Если нет, создается событие 3091, если политика блокировки находится в режиме аудита, а событие 3092 создается, если политика находится в режиме обеспечения выполнения. |
| ManagedInstallerEnabled | Политика доверяет mi |
| PassesManagedInstaller | Файл, исходимый из доверенного MI |
| SmartlockerEnabled | Политика доверяет ISG |
| PassesSmartlocker | Файл имел положительную репутацию |
| AuditEnabled | True, если политика находится в режиме аудита, в противном случае она находится в режиме обеспечения выполнения |
Включение диагностических событий ISG и MI
Чтобы включить 3091 событие аудита и 3092 событий блокировки, необходимо создать регки TestFlags со значением 0x100. Это можно сделать с помощью следующей команды PowerShell:
Чтобы включить 3090 допустимых событий и событий 3091 и 3092, вместо этого необходимо создать регки TestFlags со значением 0x300. Это можно сделать с помощью следующей команды PowerShell:
Параметры политики целостности системы
Значения правил политики WDAC можно извлечь из поля «Параметры» в разделе Детали события целостности кода 3099. Чтобы разообразить значения, сначала преобразуем значение hex в двоичное. Далее используйте битные адреса и их значения из таблицы ниже, чтобы определить состояние каждого варианта правил политики.
| Бит-адрес | Параметр правила политики |
|---|---|
| 2 | Enabled:UMCI |
| 3 | Enabled:Boot Menu Protection |
| 4 | Enabled:Intelligent Security Graph Authorization |
| 5 | Enabled:Invalidate EAs on Reboot |
| 7 | Required:WHQL |
| 10 | Enabled:Allow Supplemental Policies |
| 11 | Disabled:Runtime FilePath Rule Protection |
| 13 | Enabled:Revoked Expired As Unsigned |
| 16 | Enabled:Audit Mode (Default) |
| 17 | Disabled:Flight Signing |
| 18 | Enabled:Inherit Default Policy |
| 19 | Enabled:Unsigned System Integrity Policy (Default) |
| 20 | Enabled:Dynamic Code Security |
| 21 | Required:EV Signers |
| 22 | Enabled:Boot Audit on Failure |
| 23 | Enabled:Advanced Boot Options Menu |
| 24 | Disabled:Script Enforcement |
| 25 | Required:Enforce Store Applications |
| 27 | Enabled:Managed Installer |
| 28 | Enabled:Update Policy No Reboot |
Приложение
Список других соответствующих ID-событий и их соответствующее описание.