Мне нужна помощь в решении этой проблемы, которая возникает в нашем контроллере домена AD, где регистрируется множество событий безопасности из-за неудачных попыток входа в систему (бывшего) пользователя домена, который был отключен и впоследствии удален. Я пытаюсь определить причину этих попыток, но пока безуспешно. Одна из самых больших проблем заключается в том, что источник попыток, похоже, исходит из самого контроллера домена и запускается svchost.exe (что на самом деле не помогает). В какой-то момент этот пользователь был учетной записью администратора, если это имеет отношение к делу.
Что я пробовал до сих пор:
Запрос запланированной задачи, чтобы узнать, вызывался ли какой-либо из этого имени пользователя, но не нашел ничего, имеющего отношение к имени пользователя или времени события: schtasks /query /v /fo csv > sched_tasks.csv
Использование ProcMon для поиска общих черт между событием и действиями процессов, которые записываются ProcMon, но это оказывается трудоемким и бесплодным.
Поиск в реестре этого имени пользователя, но ничего интересного не обнаружено.
Я не уверен, какие еще варианты у меня есть, чтобы попытаться добраться до корня этих неудачных попыток входа в систему. Глядя на сами события, я ничего не понимаю, время для меня также не имеет значения. Иногда у меня есть 3 попытки подряд, разделенные 10 или 20 секундами каждая, в других случаях это будет 30 минут, 1 час, 5 часов и т. Д., Без регистрации чего-либо с этого конкретного имени пользователя.
Я расскажу о 4 наиболее распространенных событиях, которые запускает этот пользователь, но отмечу, что 4-е событие, связанное со службой аутентификации Kerberos, не является обычным. Обычно я получаю только первые 3 (вход в систему, проверка учетных данных, вход в систему). Эти события имеют одинаковое время регистрации, но если средство просмотра событий правильное, то нижнее событие старше (по порядку), чем события над ним.
Keywords: Audit Failure
Date and Time: 19/07/2017 16:18:39
Event ID: 4768
Task Category: Kerberos Authentication Service
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: deleteduser
Supplied Realm Name: CONTOSO
User ID: NULL SID
Service Information:
Service Name: krbtgt/CONTOSO
Service ID: NULL SID
Network Information:
Client Address: ::1
Client Port: 0
Additional Information:
Ticket Options: 0x40810010
Result Code: 0x6
Ticket Encryption Type: 0xFFFFFFFF
Pre-Authentication Type: -
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.
_
Keywords: Audit Failure
Date and Time: 19/07/2017 16:18:39
Event ID: 4625
Task Category: Logon
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: deleteduser
Account Domain: CONTOSO
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: SRV01
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
_
Keywords: Audit Failure
Date and Time: 19/07/2017 16:18:39
Event ID: 4776
Task Category: Credential Validation
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: deleteduser
Source Workstation: SRV01
Error Code: 0xC0000064
_
Keywords: Audit Success
Date and Time: 19/07/2017 16:18:39
Event ID: 4648
Task Category: Logon
A logon was attempted using explicit credentials.
Subject:
Security ID: NETWORK SERVICE
Account Name: SRV01$
Account Domain: CONTOSO
Logon ID: 0x3E4
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: deleteduser
Account Domain: CONTOSO
Logon GUID: {00000000-0000-0000-0000-000000000000}
Target Server:
Target Server Name: srv01.CONTOSO.local
Additional Information: srv01.CONTOSO.local
Process Information:
Process ID: 0x2b8
Process Name: C:\Windows\System32\svchost.exe
Network Information:
Network Address: -
Port: -
This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.
_
Спасибо заранее за вашу помощь.
Хорошего дня!
Я нашел источник этих событий, и я удивлен, что мне потребовалось так много времени, чтобы увидеть, что я был близко к нему пару дней назад.
Я снова начал внимательно просматривать журналы и анализировать каждую строку информации в поисках лида. Один из этих выводов, который я преследовал раньше, находится в первом зарегистрированном событии (последнем в списке выше), а именно в событии с идентификатором 4648:
Keywords: Audit Success
Date and Time: 19/07/2017 16:18:39
Event ID: 4648
Task Category: Logon
A logon was attempted using explicit credentials.
Subject:
Security ID: NETWORK SERVICE
Account Name: SRV01$
Account Domain: CONTOSO
Logon ID: 0x3E4
Logon GUID: {00000000-0000-0000-0000-000000000000}
Account Whose Credentials Were Used:
Account Name: deleteduser
Account Domain: CONTOSO
Logon GUID: {00000000-0000-0000-0000-000000000000}
Target Server:
Target Server Name: srv01.CONTOSO.local
Additional Information: srv01.CONTOSO.local
Process Information:
ID процесса: 0x2b8
Process Name: C:\Windows\System32\svchost.exe
Network Information:
Network Address: -
Port: -
This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.
Обратите внимание на жирную часть "ID процесса: 0x2b8"
Это соответствует 696 в десятичном формате. Итак, я открыл диспетчер задач и обнаружил процесс, выполняющийся с этим PID, щелкнул его правой кнопкой мыши и выбрал Перейти к сервису (ам). Как и несколько дней назад, он указывал на DHCPServer сервис, который, как и многие другие, запускается из svchost.exe обработать.
Я открыл оснастку DHCP, но на этот раз я не торопился, чтобы посмотреть на все возможные варианты, и в конце концов я нашел виновника: IPv4 / IPv6 - учетные данные для регистрации динамического обновления DNS (Свойства IPv4 / IPv6> Дополнительно> Учетные данные). Там были сохранены учетные данные уклончивого пользователя. Я создал нового пользователя только для этой роли и использовал новые учетные данные для замены удаленного пользователя, а затем перезапустил DHCP-сервер служба. Все идет нормально.