O tonă de evenimente Logon / off în Event Viewer (Administrarea sistemului, Windows Server 2012, Eventviewer)

Bungicasse a intrebat.
a intrebat.

Rulez un server Win2012 în VMware, am instalat IIS, NAP, VPN, DHCP, DNS, WDS, AD DS, AD CS. Am clienți win7 în domeniul meu, dar nu sunt porniți.

Problema este că primesc o cantitate crasă de evenimente cu ID 4634, 4624 și 4672. Primesc 1 eveniment la fiecare 2 secunde, cam la fiecare 2 secunde. Toate acestea provin de la serverul meu Win2012.

Exemplu de eveniment de logare:

An account was successfully logged on.
Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Delegation

New Logon:
    Security ID:        SYSTEM
    Account Name:       DC-SERVER$
    Account Domain:     SKOLE
    Logon ID:       0x20BE923
    Logon GUID:     GUID

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: fe80::e130:38a0:ae35:35bd
    Source Port:        58047

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Impersonarea se schimbă între Delegare și Impersonare. De asemenea, portul sursă se schimbă tot timpul.

După cum puteți vedea, aceste evenimente apar de mai multe ori în exact aceeași secundă. Nu am absolut nicio idee despre ce cauzează acest lucru. Am căutat pe Google și am căutat răspunsuri pe forum, dar nu am reușit să găsesc nimic care să mă ajute.

Și pentru oricine îmi spune să opresc auditul – Nu, nu o voi face, vreau să găsesc problema sau să primesc o explicație bună.

Actualizare:

Se pare că am avut această problemă de ceva timp, dar nu am observat până acum. Am un instantaneu al serverului meu în care nu am instalat NAP, VPN și AD CS, dar tot primesc o tonă de evenimente. Sunt sigur că are legătură cu AD. Există cineva care mă poate ajuta?

1 răspunsuri
Reaces

Judecând după numele serverului care conține DC, presupun că acesta este un controler de domeniu.
De asemenea, observați că tipul de logare este 3, ceea ce înseamnă o logare în rețea.

Pentru evenimentele 4624 și 4634 cu tipul de logon 3:

Veți vedea aceste evenimente destul de des pe un controler de domeniu, deoarece activitatea sa principală este autentificarea…
În general, aceste evenimente sunt foarte zgomotoase și nu sunt folosite prea des pentru criminalistica reală. Fără alte aplicații care să filtreze zgomotul.

Pe controlorii de domeniu vedeți adesea una sau mai multe perechi de logon/logoff imediat după evenimentele de autentificare pentru același utilizator. Dar aceste evenimente de conectare/ deconectare sunt generate de clientul de politici de grup de pe computerul local care recuperează obiectele de politici de grup aplicabile de la controlerul de domeniu, astfel încât politica să poată fi aplicată pentru acel utilizator. Apoi, aproximativ la fiecare 90 de minute, Windows actualizează politica de grup și vedeți din nou o logare și o deconectare de rețea pe controlerul de domeniu. Aceste evenimente de conectare/închidere a rețelei sunt puțin mai mult decât zgomot.

Evenimentele de logare și deconectare din rețea reușite sunt puțin mai mult decât „zgomot „pe controlorii de domeniu și pe serverele membre, din cauza cantității de informații înregistrate și urmărite. Din nefericire, nu puteți dezactiva pur și simplu evenimentele de conectare/închidere a rețelei cu succes fără a pierde și alte evenimente de conectare/închidere a rețelei interactive, desktop la distanță etc. Zgomotul nu poate fi configurat în afara jurnalului de securitate Windows; aceasta este treaba soluției de gestionare a jurnalelor / SIEM.

Pentru 4672 (Evenimente speciale de conectare):

Acesta provine din orice lucru care necesită privilegii speciale.
Rularea unei sarcini programate cu privilegii de administrator, o aplicație care are bifată opțiunea de rulare ca administrator sau pur și simplu conectarea cu un cont de administrator…

Ați putea să le analizați și să vedeți ce rulează cu privilegii speciale și dacă ar trebui sau nu să fie.

Comentarii

  • Știu că DC-ul meu ar trebui să primească o mulțime de evenimente 4624 și 4634, însă nu am niciun PC client pornit. Celălalt eveniment, 4672, ar putea fi problema în acest caz, deoarece ordinea evenimentelor mele este de obicei: Logon special – Logon – Logoff – repeta –  > Por Bungicasse.
  • La ce vă referiți prin „o aplicație care are bifată opțiunea de rulare ca administrator”? –  > Por Bungicasse.
  • @Bungicasse Dacă ai ales modul de compatibilitate rulează ca administrator. Uneori este necesar, de exemplu, pentru aplicațiile găzduite prin Citrix. Lanțul de evenimente are sens btw, un eveniment special de logare este întotdeauna legat de un eveniment normal de logare. –  > Por Reaces.