код события 4672 специальный вход что это
Код события 4672 специальный вход что это
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.
Просто в это время офис закрыт, никто не работает.
Вот скрин одного такого входа:
Ответы
Тип входа: 5 означает, что это вход службы.
Тип 2 это локальный вход
Тип 3 это вход по сети.
Все ответы
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
аutobuh, думаю, не стоит волноваться. Все у Вас нормально. Это стандартные ивенты.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
Там только одна наша обработка стоит на 12-30
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
Имя журнала: Security
Подача: Microsoft-Windows-Security-Auditing
Дата: 09.06.2014 0:19:29
Код события: 4672
Категория задачи: Специальный вход
Уровень: Сведения
Ключевые слова: Аудит выполнен успешно
Пользователь: Н/Д
Компьютер: Server
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Тип входа: 5
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Не устанавливается агент Dr.Web
Есть Dr.web ESS 10.00.0 (25-09-2014 04:00:00) x64, установленный на Win2008R2x64.
Есть домен, в который включены все компьютеры, в том числе и тот на котором Dr.Web.
Не могу установить агентов (drweb-esuite-agent-full-10.00.0-201408070-windows) по сети, при установке пишет:
Предвосхищая следующие вопросы:
Пользователь под которым устанавливается является администратором домена;
На конечном компьютера существует шара admin$;
Под этим пользователем есть доступ к этой шаре.
Подскажите, в чем может быть дело?
Попробуйте на целевой машине руками зайти в каталог «Temp» в каталоге «Windows». Иногда бывает такое, что какое-то устанавливаемое ПО убирает владельца этой папки, как результат, права на доступ вроде как есть, а зайти в нее нельзя.
Если локально попытаться туда зайти, то ОС предложит восстановить права, и все должно после этого заработать.
Попробуйте на целевой машине руками зайти в каталог «Temp» в каталоге «Windows». Иногда бывает такое, что какое-то устанавливаемое ПО убирает владельца этой папки, как результат, права на доступ вроде как есть, а зайти в нее нельзя.
Если локально попытаться туда зайти, то ОС предложит восстановить права, и все должно после этого заработать.
С правами все в порядке. Доступ есть как локально, так и из сети.
Вы заходите именно в «\\IP-адрес\admin$\TEMP»?
Вы заходите именно в «\\IP-адрес\admin$\TEMP»?
Да, именно так. И я свободно могу создавать файлы и документы в этой папке.
Подождите, вы ставите полного агента? То есть ставите руками? Тогда как именно вы это делаете, чтобы понимать, на каком этапе происходит ошибка?
В Руководстве по установке есть таблица необходимых модификаций, которые надо произвести в системе, чтобы она пустила в удаленную шару.
Подождите, вы ставите полного агента? То есть ставите руками? Тогда как именно вы это делаете, чтобы понимать, на каком этапе происходит ошибка?
В Руководстве по установке есть таблица необходимых модификаций, которые надо произвести в системе, чтобы она пустила в удаленную шару.
Да, я ставлю полного агента.
Устанавливаю из меню ESS Администрирование->Установка по сети
Если это называется руками, то видимо руками.
После нажатия на кнопку Установить происходит вот так:
Попробуйте браузер запустить с повышением привилегий (от Администратора), с теми учетными данными с которыми производите установку (то есть от имени пользователя admin2)
Попробуйте браузер запустить с повышением привилегий (от Администратора), с теми учетными данными с которыми производите установку (то есть от имени пользователя admin2)
Уже пробовал, ситуация та же.
А в Журнале событий целевой машины, присутствуют какие либо записи об ошибках, в период ваших попыток удаленной установки?
В частности в журнале Безопасности.
Подождите, вы ставите полного агента? То есть ставите руками? Тогда как именно вы это делаете, чтобы понимать, на каком этапе происходит ошибка?
В Руководстве по установке есть таблица необходимых модификаций, которые надо произвести в системе, чтобы она пустила в удаленную шару.
Да, я ставлю полного агента.
Устанавливаю из меню ESS Администрирование->Установка по сети
Если это называется руками, то видимо руками.
После нажатия на кнопку Установить происходит вот так:
Надо указать в поле «Пользвоатель», в виде: DOMAIN\admin2 а поле «Домен» оставить пустым и все заработает.
В Руководстве по установке есть таблица необходимых модификаций, которые надо произвести в системе, чтобы она пустила в удаленную шару.
Для установки в доменной сети, с учетной записью администратора домена, выполнение условий из таблицы руководства не требуется. Эта таблица только для сетей без домена.
Надо указать в поле «Пользвоатель», в виде: DOMAIN\admin2 а поле «Домен» оставить пустым и все заработает.
в логах целевого компьютера следующее:
domain\admin2 входит в группу администраторов домена?
Группа «Администраторы домена» входит в группу локальных администраторов проблемного ПК?
domain\admin2 входит в группу администраторов домена?
Группа «Администраторы домена» входит в группу локальных администраторов проблемного ПК?
Даже если я указываю логин локального администратора, все равно тоже самое.
на компьютере, с которого вы пытаетесь ставить агента?
Я так понимаю, что с ПК, с которого пытаетесь запустить установку по сети, проблемный ПК виден? На проблемном ПК что показывает
Я так понимаю, что с ПК, с которого пытаетесь запустить установку по сети, проблемный ПК виден? На проблемном ПК что показывает
на компьютере, с которого вы пытаетесь ставить агента?
На конечном компьютера существует шара admin$;
Под этим пользователем есть доступ к этой шаре.
Скажите, вот это все проверялось с того же ПК, с которого вы запускаете в браузере установку по сети?
Бросил и установил руками с локального компьютера. Спасибо за помощь.
Тема: На комп постоянно заходят по сети
Опции темы
Прошу Вашей помощи в подсказке: какую софтину можно поставить, чтобы в логи записывалось, с какого айпи по сети ко мне зашли? Очень надо, друзяки.
Прошу за подобный вопрос сильно не пинать. Всем спасибо за внимание и за ответы.
Что значит заходят? Как вы это поняли? Т.е. обоснуйте что происходит. Также понять бы по какой сети
по LAN’у, через инет? Или по wi-fi?
IP сильно напоминает локальный, попробуйте сменить имя рабочей группы(придумайте позаковыристее),
в которую входит комп. Не ставьте общий доступ к папкам.
В сетях я не сильно рублю, но это первое что сделал бы, также проверьте на руткиты, скачайте с
сайта касперского бесплатную утилиту для проверки и протестируйте комп ею.
Хорошо бы посмотреть, работают ли следующие службы:
если будете выключать, то не все сразу, а по одной, выключили и посмотрели, что происходит, проанализировали, через недельку следующую.
Адреса вида 192.168.1.X относятся к вашей локальной сети. Раз у вас у ноута и компа два разных адреса, соответственно 2-ой и 3-ий в вашей локальной сети. Сделовательно у вас не просто модем, а роутер. Далее надо понять как у вас присвается IP адрес, т.е. вы сами его жестко руками установили или он всякий раз автоматически выдается DHCP сервером. Постмотрите сетевые настройки и скажите как у вас настроен IP адрес.
Друзья, глянул в «Аудит безопасности» на компе. Выдало такое:
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности
Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы
Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в систему
В 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:
Вкладка «Общие»:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
[ Name] Microsoft-Windows-Security-Auditing
[ Guid]
4672(S): Специальные привилегии, присвоенные новому логотипу.
Описание события:
Это событие создает для новых логотипов учетных записей, если какие-либо из следующих конфиденциальных привилегий назначены на новый сеанс логотипа:
SeTcbPrivilege — act как часть операционной системы
SeBackupPrivilege — архивация файлов и каталогов
SeCreateTokenPrivilege — создание объекта маркера
SeDebugPrivilege — отлаживка программ
SeEnableDelegationPrivilege — позволяет доверять учетным записям компьютера и пользователей для делегирования
SeAuditPrivilege — создание аудита безопасности
SeImpersonatePrivilege — выдают себя за клиента после проверки подлинности
SeLoadDriverPrivilege — драйверы загрузки и разгрузки устройств
SeSecurityPrivilege — управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege — изменение значений среды прошивки
SeAssignPrimaryTokenPrivilege — замена маркера уровня процессов
SeRestorePrivilege — восстановление файлов и каталогов,
SeTakeOwnershipPrivilege — владение файлами или другими объектами
Как правило, многие из этих событий можно увидеть в журнале событий, так как каждый логотип учетной записи SYSTEM (Local System) запускает это событие.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которой были назначены специальные привилегии.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Privileges [Type = UnicodeString]: список конфиденциальных привилегий, присвоенных новому логотипу. В следующей таблице содержится список возможных привилегий для этого события:
| Имя привилегий | Имя политики правой группы пользователя | Описание |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | Замена маркера уровня процессов | Необходимо назначить основной маркер процесса. С помощью этой привилегии пользователь может инициировать процесс замены маркера по умолчанию, связанного с запущенным подпроцессом. |
| SeAuditPrivilege | Создание аудитов безопасности | С помощью этой привилегии пользователь может добавлять записи в журнал безопасности. |
| SeBackupPrivilege | Архивация файлов и каталогов | — Требуется для выполнения операций резервного копирования. С помощью этой привилегии пользователь может обходить файлы и каталоги, реестр и другие постоянные разрешения объекта для создания системы. Эта привилегия заставляет систему предоставлять все возможности управления доступом для чтения любому файлу независимо от списка управления доступом ** (ACL), заданного для файла. Любой запрос доступа, кроме чтения, по-прежнему оценивается с помощью ACL. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE |
| SeCreateTokenPrivilege | Создание маркерного объекта | Позволяет процессу создать маркер, который он может использовать для получения доступа к любым локальным ресурсам, когда в процессе используются API NtCreateToken или другие API создания маркеров. Если для процесса требуется эта привилегия, рекомендуется использовать учетную запись LocalSystem (которая уже включает эту привилегию), а не создавать отдельную учетную запись пользователя и назначать ее. |
| SeDebugPrivilege | Отладка программ | Требуется отламывка и настройка памяти процесса, который принадлежит другой учетной записи. С помощью этой привилегии пользователь может прикрепить отладка к любому процессу или к ядру. Рекомендуется всегда предоставлять SeDebugPrivilege администраторам и только администраторам. Разработчики, отладившие собственные приложения, не нуждаются в этом праве пользователя. Разработчики, отладившие новые компоненты системы, нуждаются в этом праве пользователя. Это право пользователя обеспечивает полный доступ к чувствительным и критически важным компонентам операционной системы. |
| SeEnableDelegationPrivilege | Разрешение доверия к учетным записям компьютеров и пользователей при делегировании | Необходимо отметить учетные записи пользователей и компьютеров как доверенные для делегирования. С помощью этой привилегии пользователь может установить параметр доверенныхдля делегирования ation на объекте пользователя или компьютера. Пользователь или объект, который получает эту привилегию, должен иметь доступ к флагам управления учетной записью на объекте пользователя или компьютера. Серверный процесс, работающий на компьютере (или в контексте пользователя), которому доверяется делегирование, может получать доступ к ресурсам на **** другом компьютере с помощью делегирования учетных данных клиента, если учетная запись клиента не имеет учетной записи, не может быть делегирована флаг управления учетной записью. |
| SeImpersonatePrivilege | Имитация клиента после проверки подлинности | С помощью этой привилегии пользователь может выдать себя за другие учетные записи. |
| SeLoadDriverPrivilege | Загрузка и выгрузка драйверов устройств | Требуется загрузить или выгрузить драйвер устройства. С помощью этой привилегии пользователь может динамически загружать и разгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug и Play. |
| SeRestorePrivilege | Восстановление файлов и каталогов | Необходимые для выполнения операций восстановления. Эта привилегия заставляет систему предоставлять все управление доступом к записи любому файлу, независимо от ACL, указанного для файла. Любой запрос доступа, кроме записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет установить любого допустимого пользователя или группу SID в качестве владельца файла. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY DELETE С помощью этой привилегии пользователь может обходить разрешения файлов, каталогов, реестров и других постоянных объектов при восстановлении архивных файлов и каталогов и определяет, какие пользователи могут установить любого допустимого директора безопасности в качестве владельца объекта. |
| SeSecurityPrivilege | Управление журналом аудита и безопасности | Требуется выполнять ряд функций, связанных с безопасностью, таких как управление и просмотр событий аудита в журнале событий безопасности. С помощью этой привилегии пользователь может указать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и клавиши реестра. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности. |
| SeSystemEnvironmentPrivilege | Изменение параметров среды изготовителя | Требуется изменить невольную оперативную память систем, которые используют этот тип памяти для хранения сведений о конфигурации. |
| SeTakeOwnershipPrivilege | Смена владельцев файлов и других объектов | Обязательное право собственности на объект без предоставления дискреционного доступа. Эта привилегия позволяет задать значение владельца только тем значениям, которые владелец может законно назначить в качестве владельца объекта. С помощью этой привилегии пользователь может взять на себя ответственность за любой объект в системе, в том числе объекты Active Directory, файлы и папки, принтеры, ключи реестра, процессы и потоки. |
| SeTcbPrivilege | Работа в режиме операционной системы | Эта привилегия определяет своего владельца как часть надежной компьютерной базы. Это право пользователя позволяет процессу выдать себя любому пользователю без проверки подлинности. Таким образом, этот процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. |
Рекомендации по контролю безопасности
Для 4672 (S): Специальные привилегии, присвоенные новому логотипу.
Монитор этого события, в котором «Subject\Security ID» не является одним из этих известных принципов безопасности: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, и где «Subject\Security ID» не является административной учетной записью, которая, как ожидается, будет иметь перечисленные привилегии. **
Если у вас есть список определенных привилегий, которые никогда не должны предоставляться или предоставляться только нескольким учетным записям (например, SeDebugPrivilege), используйте это событие для мониторинга этих «привилегий».