В моем офисе есть изолированный настольный компьютер, на котором я провожу еженедельные проверки безопасности. Я проверяю журналы на предмет странного поведения, затем экспортирую и очищаю их.
Журналы заполненный с "Ошибка аудита Microsoft Windows Security Auditing Event ID 4673"
Вызвана привилегированная служба
Тема:
Security ID: System Account Name: Standalone_System_2$ Account Domain: WORKGROUP Logon ID: 0x307Обслуживание:
Server: Security Account Manager Service Name: Security Account ManagerОбработать:
Process ID: 0x208 Process Name: C:\Windows\System32\lsass.eseИнформация о запросе на обслуживание:
Privileges: SeTcbPrivilege
я нашел этот пост Technet который посоветовал мне выключить "Audit Privilege Use" ... Не тот путь, по которому мне нужно идти.
Некоторые предполагают, что эти записи в журнале могут быть вызваны антивирусом ... Я не знаю, как определить учетную запись или службу-нарушитель. Я проверил службы в системе и вижу службу под названием "Безопасность Счета Менеджер », однако эта услуга не под названием "Безопасность учетная запись Управляющий делами".
Не знаю, куда идти, но я хочу контролировать этот журнал аудита! Все эти бесполезные записи делают практически невозможным поиск реальных событий.
Последняя запись в этом потоке рассказывает об использовании определенного инструмента для определения пользователя, о котором идет речь для этой ошибки (идентификатор входа уникален с момента загрузки, но после перезагрузки изменяется, поэтому вам нужно увидеть, какая учетная запись подключена к этому запросу) и проверить, действительно ли у них должны быть разрешения делать то, что они приписывают: http://answers.microsoft.com/en-us/windows/forum/windows_xp-security/577-many-failures-pertain-to-setcbprivilege-in/3944f31c-dda4-46d9-adbf-74a9953dedeb
Воспроизведено здесь, потому что форум трудно читать:
Я заметил, что получал ПУЧКУ из LSASS. (например, около 17k за ~ 2 часа ... не мог понять, почему регистратору событий требовалось столько операций ввода-вывода ... (он регистрировал много сбоев) ... SeTCBPriv не работает.
Я использовал 'process hacker2' (улучшенная версия Process Explorer, теперь, когда procxp управляется MS, (вроде как позволить лисам владеть вашими инструментами для наблюдения за лисами в вашем курятнике!) ..
Затем я мог посмотреть, под какой учетной записью lsass (samss) работает. (В сервисах или в процессе hacker2 - на sourceforge.net, BTW).
Затем, используя панель локальной политики безопасности в инструментах администратора и просматривая раздел «Назначение прав пользователя», я мог убедиться, что все необходимые привилегии, необходимые для запуска, были разрешены (как указано в ACL службы (если они не , он не будет работать, поэтому обычно это не проблема), НО, ТАКЖЕ убедитесь, что учетная запись LSASS, под которой работает, имела привилегию «Действовать как часть операционной системы» (доверенная вычислительная база / tcb).
То же самое и с любой другой службой - которая генерирует много ошибок аудита ... убедитесь, что у нее есть необходимые привилегии в ее ACL (что-то невероятно загадочное, чтобы сделать без графического интерфейса ...). Если вы не уверены ... исследуйте его в сети и посмотрите, должна ли он иметь эту привилегию ... если он подписан и сертифицирован MS, то, вероятно, ваша система неправильно настроена (по крайней мере, с точки зрения этой службы ;-) Затем вам просто нужно предоставить ему необходимые привилегии - ТАКЖЕ изящная вещь в PH2, вы можете просто выбрать параметр, указывающий, работает ли служба с множеством других служб или нет. До сих пор мне удавалось отделить интерактивные материалы (аудио / видео / рабочий стол) от фоновых служб, чтобы я мог эффективно расставлять приоритеты - до этого недавнего открытия не было возможности отключить приоритет некоторых более низких предыдущих служб, не влияя на аудио и / или рабочий стол ...
В любом случае, после того, как я убедился, что LSASS имеет tcb privs ... сообщения исчезли ...