Добрый день! Вопрос такого характера. Есть 2 события "4624 (Вход с учетной записью выполнен успешно)" и "4648 (Выполнена попытка входа в систему с явным указанием учетных данных)". В журнале (на домен-контроллере Windows 2008 R2) аудита возникает большое количество этих событий с использованием Анонимного входа. В событиях фигурируют компьютеры домена. Примерная ситуация. Есть домен-контроллер(ДК) и 2 рядовых компьютера(РК01, РК02), мой сотрудник утверждает что домен-контроллер может фиксировать события произошедшие в сети, те если с компьютера РК01 зайти на компьютер РК02 на ДК будет ивент 4648, а если на компьютере РК01 пройдет проверку подлинности анонимус, то ДК зафиксирует событие 4624. На сколько я полагаю все события/ивенты, которые есть на ДК происходят непосредственно с самим ДК и он не фиксирует события в сети в которых он не участвует, тем более что тип входа сетевой указан(3). Я понимаю что вопрос несколько идиотский, но все же буду очень признателен за помощь, так как с анонимусом воспроизвести ситуацию дабы проверить правда или нет не знаю как. Пример лога
4624
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Новый вход:
ИД безопасности: S-1-5-7
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x1f0feff
GUID входа: РК02
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Сведения о сети:
Имя рабочей станции: РК02
Сетевой адрес источника: 192.168.0.12
Порт источника: 58068
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128
Интерпретация событий 4624 и 4648
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
snorlov
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Интерпретация событий 4624 и 4648
Рабочая станция должна как то проверить доменную учетку с которой лезут на нее, вот и проверяет ее на контроллере домена...