Назад | Перейти на главную страницу

Постоянные сбои аудита в средстве просмотра событий из-за пользователей, не вошедших в систему

Позвольте мне начать с некоторых деталей моей среды:

В последнее время я получаю сообщения о блокировке учетных записей пользователей домена из-за чрезмерных попыток неудачного входа в систему. Я получил сообщения об этой проблеме от пользователей, использующих две разные машины, обе с Win 7 Pro x64. Я бы просто разблокировал их учетную запись и позволил им быть в пути, но иногда учетная запись немедленно повторно блокируется, а иногда пользователь блокируется на ночь, что каждую ночь вызывает некоторый хаос. Из-за этой проблемы я установил Порог блокировки учетной записи на 0 в соответствии с нашей Политикой блокировки сервера SBS, чтобы пользователи могли работать без перебоев, пока я разбираюсь в этом.

При проведении некоторого исследования этой проблемы я обнаружил частую проблему, заключающуюся в том, что при изменении пароля пользователя его старые учетные данные где-то кэшируются и используются процессом или службой, вызывающими сбои аудита, но соответствующие пользователи не изменили свои пароль через долгое время.

Итак, я проверяю журналы событий на одной из рассматриваемых рабочих станций и обнаруживаю, что события Audit Failure для ряда пользователей происходят каждую секунду или около того. Один из пользователей регулярно использует компьютер через удаленный рабочий стол, но трое других немного странно видеть. Один из трех других пользователей не имеет доступа к этому компьютеру, о котором я знаю, а два других пользователя не существует. Один из несуществующих пользователей имеет имя пользователя нашего доменного имени, а другой называется DENTAL .... На другом компьютере, на котором другой пользователь постоянно выходил из системы, я видел в списке всевозможные странные и несуществующие имена пользователей. в событиях (это были настоящие имена, а не имена пользователей нашего домена, например, bob, jenny, garry и т. д.).

Временная шкала журнала событий безопасности выглядит следующим образом: весь день каждый день: Ошибки аудита

Вот полные сведения о событии для несуществующего пользователя (единственный пользователь, выполнивший вход на его компьютер, - это администратор домена):

-System
  -Provider
      [ Name]        Microsoft-Windows-Security-Auditing 
      [ Guid]        {54849625-5478-4994-A5BA-3E3B0328C30D} 
   EventID           4625
   Version           0
   Level             0
   Task              12544
   Opcode            0
   Keywords          0x8010000000000000 
  -Time Created
       [ SystemTime] 2017-03-16T18:23:08.864151000Z 
   EventRecordID     9068892
   Correlation
  -Execution
       [ ProcessID]  560
       [ ThreadID]   1364
   Channel           Security
   Computer          *xxxx.domain.lan*
   Security          

-EventData
   SubjectUserSid            S-1-0-0 
   SubjectUserName           - 
   SubjectDomainName         - 
   SubjectLogonId            0x0 
   TargetUserSid             S-1-0-0 
   TargetUserName            DENTAL
   TargetDomainName  
   Status                    0xc000006d 
   FailureReason             %%2313 
   SubStatus                 0xc0000064 
   LogonType                 3 
   LogonProcessName          NtLmSsp  
   AuthenticationPackageName NTLM 
   WorkstationName  
   TransmittedServices       - 
   LmPackageName             - 
   KeyLength                 0 
   ProcessId                 0x0 
   ProcessName               - 
   IpAddress                 -  
   IpPort                    - 

Для каждого из этих событий (EventID 4625) существует соответствующее событие (EventID 4776) с тем же TargetUserName.

Мы будем очень благодарны за любую помощь и / или совет, предоставленные здесь. Пожалуйста, дайте мне знать, если есть какая-либо другая информация, которую я должен предоставить, журналы событий, которые вы хотели бы видеть и т.

Заранее спасибо!