Я использую сервер Win2012 в VMware, я установил IIS, NAP, VPN, DHCP, DNS, WDS, AD DS, AD CS. У меня в домене есть клиенты win7, но они не включены.
Проблема в том, что я получаю аварийное количество событий с ID 4634, 4624 и 4672. Я получаю одно событие каждые 2 секунды. Все они поступают с моего сервера Win2012.
Пример события входа в систему:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Delegation
New Logon:
Security ID: SYSTEM
Account Name: DC-SERVER$
Account Domain: SKOLE
Logon ID: 0x20BE923
Logon GUID: GUID
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: fe80::e130:38a0:ae35:35bd
Source Port: 58047
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Олицетворение меняется между делегированием и олицетворением. Исходный порт тоже все время меняется.
Как видите, эти события происходят несколько раз в одну и ту же секунду. Я понятия не имею, что вызывает это. Я погуглил и искал ответы на форуме, но не смог найти ничего, что помогло бы.
И для тех, кто говорит мне отключить аудит - нет, я не буду, я хочу найти проблему или получить хорошее объяснение.
Обновить:
По-видимому, у меня была эта проблема довольно давно, но до сих пор я особо не замечал. У меня есть снимок моего сервера, на котором у меня не установлены NAP, VPN и AD CS, но я все еще получаю массу событий. Я уверен, что это как-то связано с AD. Кто-нибудь может помочь?
Судя по названию сервера, на котором находится DC, я предполагаю, что это контроллер домена.
Также обратите внимание, что тип входа - 3, что означает вход в сеть.
Для событий 4624 и 4634 с типом входа 3:
Вы довольно часто будете видеть эти события на контроллере домена, поскольку его основной задачей является проверка подлинности ...
Обычно они очень шумные и не так часто используются для реальной криминалистики. Без других приложений для фильтрации шума.
На контроллерах домена вы часто видите одну или несколько пар входа / выхода сразу после событий аутентификации для одного и того же пользователя. Но эти события входа / выхода генерируются клиентом групповой политики на локальном компьютере, извлекающим соответствующие объекты групповой политики из контроллера домена, чтобы эту политику можно было применить для этого пользователя. Затем примерно каждые 90 минут Windows обновляет групповую политику, и вы снова видите вход в сеть и выход из нее на контроллере домена. Эти события входа / выхода из сети - не более чем шум.
...
События успешного входа в сеть и выхода из нее - это не что иное, как «шум» для контроллеров домена и рядовых серверов из-за объема регистрируемой и отслеживаемой информации. К сожалению, вы не можете просто отключить успешные события входа / выхода из сети, не потеряв при этом другие события входа / выхода для интерактивного, удаленного рабочего стола и т. Д. Шум нельзя настроить из журнала безопасности Windows; это задача вашего решения для управления журналами / SIEM.
Для 4672 (специальные события входа в систему):
Это происходит из все, что требует особых привилегий.
Запуск запланированной задачи с правами администратора, приложение, запущенное от имени администратора, или просто вход в систему с учетной записью администратора, ...
Вы можете просмотреть их и увидеть, что работает с особыми привилегиями и должно ли это быть.