| 0
- 05.10.2016 - 10:32
|
Подскажите, на сервере 2012R22 с включеным RDP постоянно генерятся события анонимного входа\выхода. меняется только номер порта. Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 05.10.2016 9:59:26 Код события: 4624 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит успеха Пользователь: Н/Д Компьютер: ServerRDP Описание: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Уровень олицетворения: Олицетворение Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x10D22B4C GUID входа: {00000000-0000-0000-0000-000000000000** Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: SERVERRDP Сетевой адрес источника: fe80::c08:6a7b:e479:6733 Порт источника: 63935 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа в систему. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.     | |
Интернет-форум Краснодарского края и Краснодара |
