Назад | Перейти на главную страницу

Множество событий входа / выхода в средстве просмотра событий

Я использую сервер Win2012 в VMware, я установил IIS, NAP, VPN, DHCP, DNS, WDS, AD DS, AD CS. У меня в домене есть клиенты win7, но они не включены.

Проблема в том, что я получаю аварийное количество событий с ID 4634, 4624 и 4672. Я получаю одно событие каждые 2 секунды. Все они поступают с моего сервера Win2012.

Пример события входа в систему:

An account was successfully logged on.
Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Delegation

New Logon:
    Security ID:        SYSTEM
    Account Name:       DC-SERVER$
    Account Domain:     SKOLE
    Logon ID:       0x20BE923
    Logon GUID:     GUID

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: fe80::e130:38a0:ae35:35bd
    Source Port:        58047

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Олицетворение меняется между делегированием и олицетворением. Исходный порт тоже все время меняется.

Как видите, эти события происходят несколько раз в одну и ту же секунду. Я понятия не имею, что вызывает это. Я погуглил и искал ответы на форуме, но не смог найти ничего, что помогло бы.

И для тех, кто говорит мне отключить аудит - нет, я не буду, я хочу найти проблему или получить хорошее объяснение.

Обновить:

По-видимому, у меня была эта проблема довольно давно, но до сих пор я особо не замечал. У меня есть снимок моего сервера, на котором у меня не установлены NAP, VPN и AD CS, но я все еще получаю массу событий. Я уверен, что это как-то связано с AD. Кто-нибудь может помочь?

Судя по названию сервера, на котором находится DC, я предполагаю, что это контроллер домена.
Также обратите внимание, что тип входа - 3, что означает вход в сеть.

Для событий 4624 и 4634 с типом входа 3:

Вы довольно часто будете видеть эти события на контроллере домена, поскольку его основной задачей является проверка подлинности ...
Обычно они очень шумные и не так часто используются для реальной криминалистики. Без других приложений для фильтрации шума.

На контроллерах домена вы часто видите одну или несколько пар входа / выхода сразу после событий аутентификации для одного и того же пользователя. Но эти события входа / выхода генерируются клиентом групповой политики на локальном компьютере, извлекающим соответствующие объекты групповой политики из контроллера домена, чтобы эту политику можно было применить для этого пользователя. Затем примерно каждые 90 минут Windows обновляет групповую политику, и вы снова видите вход в сеть и выход из нее на контроллере домена. Эти события входа / выхода из сети - не более чем шум.

...

События успешного входа в сеть и выхода из нее - это не что иное, как «шум» для контроллеров домена и рядовых серверов из-за объема регистрируемой и отслеживаемой информации. К сожалению, вы не можете просто отключить успешные события входа / выхода из сети, не потеряв при этом другие события входа / выхода для интерактивного, удаленного рабочего стола и т. Д. Шум нельзя настроить из журнала безопасности Windows; это задача вашего решения для управления журналами / SIEM.

Для 4672 (специальные события входа в систему):

Это происходит из все, что требует особых привилегий.
Запуск запланированной задачи с правами администратора, приложение, запущенное от имени администратора, или просто вход в систему с учетной записью администратора, ...

Вы можете просмотреть их и увидеть, что работает с особыми привилегиями и должно ли это быть.