Коды ошибок ntlm

Время на прочтение
4 мин

Количество просмотров 255K

Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Еще раз продублируем ссылку на скачивание документа на сайте Рэнди Франклина Смита www.ultimatewindowssecurity.com/securitylog/quickref/Default.aspx. Нужно будет заполнить небольшую форму, чтобы получить к нему доступ.

P.S. Хотите полностью автоматизировать работу с журналами событий? Попробуйте новую версию NetWrix Event Log Manager 4.0, которая осуществляет сбор и архивирование журналов событий, строит отчеты и генерирует оповещения в режиме реального времени. Программа собирает данные с многочисленных компьютеров сети, предупреждает Вас о критических событиях и централизованно хранит данные обо всех событиях в сжатом формате для удобства анализа архивных данных журналов. Доступна бесплатная версия программы для 10 контроллеров доменов и 100 компьютеров.

4618 N/A High A monitored security event pattern has occurred. 4649 N/A High A replay attack was detected. May be a harmless false positive due to misconfiguration error. 4719 612 High System audit policy was changed. 4765 N/A High SID History was added to an account. 4766 N/A High An attempt to add SID History to an account failed. 4794 N/A High An attempt was made to set the Directory Services Restore Mode. 4897 801 High Role separation enabled: 4964 N/A High Special groups have been assigned to a new logon. 5124 N/A High A security setting was updated on the OCSP Responder Service N/A 550 Medium to High Possible denial-of-service (DoS) attack 1102 517 Medium to High The audit log was cleared 4621 N/A Medium Administrator recovered system from CrashOnAuditFail. Users who are not administrators will now be allowed to log on. Some auditable activity might not have been recorded. 4675 N/A Medium SIDs were filtered. 4692 N/A Medium Backup of data protection master key was attempted. 4693 N/A Medium Recovery of data protection master key was attempted. 4706 610 Medium A new trust was created to a domain. 4713 617 Medium Kerberos policy was changed. 4714 618 Medium Encrypted data recovery policy was changed. 4715 N/A Medium The audit policy (SACL) on an object was changed. 4716 620 Medium Trusted domain information was modified. 4724 628 Medium An attempt was made to reset an account’s password. 4727 631 Medium A security-enabled global group was created. 4735 639 Medium A security-enabled local group was changed. 4737 641 Medium A security-enabled global group was changed. 4739 643 Medium Domain Policy was changed. 4754 658 Medium A security-enabled universal group was created. 4755 659 Medium A security-enabled universal group was changed. 4764 667 Medium A security-disabled group was deleted 4764 668 Medium A group’s type was changed. 4780 684 Medium The ACL was set on accounts which are members of administrators groups. 4816 N/A Medium RPC detected an integrity violation while decrypting an incoming message. 4865 N/A Medium A trusted forest information entry was added. 4866 N/A Medium A trusted forest information entry was removed. 4867 N/A Medium A trusted forest information entry was modified. 4868 772 Medium The certificate manager denied a pending certificate request. 4870 774 Medium Certificate Services revoked a certificate. 4882 786 Medium The security permissions for Certificate Services changed. 4885 789 Medium The audit filter for Certificate Services changed. 4890 794 Medium The certificate manager settings for Certificate Services changed. 4892 796 Medium A property of Certificate Services changed. 4896 800 Medium One or more rows have been deleted from the certificate database. 4906 N/A Medium The CrashOnAuditFail value has changed. 4907 N/A Medium Auditing settings on object were changed. 4908 N/A Medium Special Groups Logon table modified. 4912 807 Medium Per User Audit Policy was changed. 4960 N/A Medium IPsec dropped an inbound packet that failed an integrity check. If this problem persists, it could indicate a network issue or that packets are being modified in transit to this computer. Verify that the packets sent from the remote computer are the same as those received by this computer. This error might also indicate interoperability problems with other IPsec implementations. 4961 N/A Medium IPsec dropped an inbound packet that failed a replay check. If this problem persists, it could indicate a replay attack against this computer. 4962 N/A Medium IPsec dropped an inbound packet that failed a replay check. The inbound packet had too low a sequence number to ensure it was not a replay. 4963 N/A Medium IPsec dropped an inbound clear text packet that should have been secured. This is usually due to the remote computer changing its IPsec policy without informing this computer. This could also be a spoofing attack attempt. 4965 N/A Medium IPsec received a packet from a remote computer with an incorrect Security Parameter Index (SPI). This is usually caused by malfunctioning hardware that is corrupting packets. If these errors persist, verify that the packets sent from the remote computer are the same as those received by this computer. This error may also indicate interoperability problems with other IPsec implementations. In that case, if connectivity is not impeded, then these events can be ignored. 4976 N/A Medium During Main Mode negotiation, IPsec received an invalid negotiation packet. If this problem persists, it could indicate a network issue or an attempt to modify or replay this negotiation. 4977 N/A Medium During Quick Mode negotiation, IPsec received an invalid negotiation packet. If this problem persists, it could indicate a network issue or an attempt to modify or replay this negotiation. 4978 N/A Medium During Extended Mode negotiation, IPsec received an invalid negotiation packet. If this problem persists, it could indicate a network issue or an attempt to modify or replay this negotiation. 4983 N/A Medium An IPsec Extended Mode negotiation failed. The corresponding Main Mode security association has been deleted. 4984 N/A Medium An IPsec Extended Mode negotiation failed. The corresponding Main Mode security association has been deleted. 5027 N/A Medium The Windows Firewall Service was unable to retrieve the security policy from the local storage. The service will continue enforcing the current policy. 5028 N/A Medium The Windows Firewall Service was unable to parse the new security policy. The service will continue with currently enforced policy. 5029 N/A Medium The Windows Firewall Service failed to initialize the driver. The service will continue to enforce the current policy. 5030 N/A Medium The Windows Firewall Service failed to start. 5035 N/A Medium The Windows Firewall Driver failed to start. 5037 N/A Medium The Windows Firewall Driver detected critical runtime error. Terminating. 5038 N/A Medium Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error. 5120 N/A Medium OCSP Responder Service Started 5121 N/A Medium OCSP Responder Service Stopped 5122 N/A Medium A configuration entry changed in OCSP Responder Service 5123 N/A Medium A configuration entry changed in OCSP Responder Service 5376 N/A Medium Credential Manager credentials were backed up. 5377 N/A Medium Credential Manager credentials were restored from a backup. 5453 N/A Medium An IPsec negotiation with a remote computer failed because the IKE and AuthIP IPsec Keying Modules (IKEEXT) service is not started. 5480 N/A Medium IPsec Services failed to get the complete list of network interfaces on the computer. This poses a potential security risk because some of the network interfaces may not get the protection provided by the applied IPsec filters. Use the IP Security Monitor snap-in to diagnose the problem. 5483 N/A Medium IPsec Services failed to initialize RPC server. IPsec Services could not be started. 5484 N/A Medium IPsec Services has experienced a critical failure and has been shut down. The shutdown of IPsec Services can put the computer at greater risk of network attack or expose the computer to potential security risks. 5485 N/A Medium IPsec Services failed to process some IPsec filters on a plug-and-play event for network interfaces. This poses a potential security risk because some of the network interfaces may not get the protection provided by the applied IPsec filters. Use the IP Security Monitor snap-in to diagnose the problem. 6145 N/A Medium One or more errors occurred while processing security policy in the Group Policy objects. 6273 N/A Medium Network Policy Server denied access to a user. 6274 N/A Medium Network Policy Server discarded the request for a user. 6275 N/A Medium Network Policy Server discarded the accounting request for a user. 6276 N/A Medium Network Policy Server quarantined a user. 6277 N/A Medium Network Policy Server granted access to a user but put it on probation because the host did not meet the defined health policy. 6278 N/A Medium Network Policy Server granted full access to a user because the host met the defined health policy. 6279 N/A Medium Network Policy Server locked the user account due to repeated failed authentication attempts. 6280 N/A Medium Network Policy Server unlocked the user account. — 640 Medium General account database changed — 619 Medium Quality of Service Policy changed 24586 N/A Medium An error was encountered converting volume 24592 N/A Medium An attempt to automatically restart conversion on volume %2 failed. 24593 N/A Medium Metadata write: Volume %2 returning errors while trying to modify metadata. If failures continue, decrypt volume 24594 N/A Medium Metadata rebuild: An attempt to write a copy of metadata on volume %2 failed and may appear as disk corruption. If failures continue, decrypt volume. 4608 512 Low Windows is starting up. 4609 513 Low Windows is shutting down. 4610 514 Low An authentication package has been loaded by the Local Security Authority. 4611 515 Low A trusted logon process has been registered with the Local Security Authority. 4612 516 Low Internal resources allocated for the queuing of audit messages have been exhausted, leading to the loss of some audits. 4614 518 Low A notification package has been loaded by the Security Account Manager. 4615 519 Low Invalid use of LPC port. 4616 520 Low The system time was changed. 4622 N/A Low A security package has been loaded by the Local Security Authority. 4624 528,540 Low An account was successfully logged on. 4625 529-537,539 Low An account failed to log on. 4634 538 Low An account was logged off. 4646 N/A Low IKE DoS-prevention mode started. 4647 551 Low User initiated logoff. 4648 552 Low A logon was attempted using explicit credentials. 4650 N/A Low An IPsec Main Mode security association was established. Extended Mode was not enabled. Certificate authentication was not used. 4651 N/A Low An IPsec Main Mode security association was established. Extended Mode was not enabled. A certificate was used for authentication. 4652 N/A Low An IPsec Main Mode negotiation failed. 4653 N/A Low An IPsec Main Mode negotiation failed. 4654 N/A Low An IPsec Quick Mode negotiation failed. 4655 N/A Low An IPsec Main Mode security association ended. 4656 560 Low A handle to an object was requested. 4657 567 Low A registry value was modified. 4658 562 Low The handle to an object was closed. 4659 N/A Low A handle to an object was requested with intent to delete. 4660 564 Low An object was deleted. 4661 565 Low A handle to an object was requested. 4662 566 Low An operation was performed on an object. 4663 567 Low An attempt was made to access an object. 4664 N/A Low An attempt was made to create a hard link. 4665 N/A Low An attempt was made to create an application client context. 4666 N/A Low An application attempted an operation: 4667 N/A Low An application client context was deleted. 4668 N/A Low An application was initialized. 4670 N/A Low Permissions on an object were changed. 4671 N/A Low An application attempted to access a blocked ordinal through the TBS. 4672 576 Low Special privileges assigned to new logon. 4673 577 Low A privileged service was called. 4674 578 Low An operation was attempted on a privileged object. 4688 592 Low A new process has been created. 4689 593 Low A process has exited. 4690 594 Low An attempt was made to duplicate a handle to an object. 4691 595 Low Indirect access to an object was requested. 4694 N/A Low Protection of auditable protected data was attempted. 4695 N/A Low Unprotection of auditable protected data was attempted. 4696 600 Low A primary token was assigned to process. 4697 601 Low Attempt to install a service 4698 602 Low A scheduled task was created. 4699 602 Low A scheduled task was deleted. 4700 602 Low A scheduled task was enabled. 4701 602 Low A scheduled task was disabled. 4702 602 Low A scheduled task was updated. 4704 608 Low A user right was assigned. 4705 609 Low A user right was removed. 4707 611 Low A trust to a domain was removed. 4709 N/A Low IPsec Services was started. 4710 N/A Low IPsec Services was disabled. 4711 N/A Low May contain any one of the following: PAStore Engine applied locally cached copy of Active Directory storage IPsec policy on the computer. PAStore Engine applied Active Directory storage IPsec policy on the computer. PAStore Engine applied local registry storage IPsec policy on the computer. PAStore Engine failed to apply locally cached copy of Active Directory storage IPsec policy on the computer. PAStore Engine failed to apply Active Directory storage IPsec policy on the computer. PAStore Engine failed to apply local registry storage IPsec policy on the computer. PAStore Engine failed to apply some rules of the active IPsec policy on the computer. PAStore Engine failed to load directory storage IPsec policy on the computer. PAStore Engine loaded directory storage IPsec policy on the computer. PAStore Engine failed to load local storage IPsec policy on the computer. PAStore Engine loaded local storage IPsec policy on the computer.PAStore Engine polled for changes to the active IPsec policy and detected no changes. 4712 N/A Low IPsec Services encountered a potentially serious failure. 4717 621 Low System security access was granted to an account. 4718 622 Low System security access was removed from an account. 4720 624 Low A user account was created. 4722 626 Low A user account was enabled. 4723 627 Low An attempt was made to change an account’s password. 4725 629 Low A user account was disabled. 4726 630 Low A user account was deleted. 4728 632 Low A member was added to a security-enabled global group. 4729 633 Low A member was removed from a security-enabled global group. 4730 634 Low A security-enabled global group was deleted. 4731 635 Low A security-enabled local group was created. 4732 636 Low A member was added to a security-enabled local group. 4733 637 Low A member was removed from a security-enabled local group. 4734 638 Low A security-enabled local group was deleted. 4738 642 Low A user account was changed. 4740 644 Low A user account was locked out. 4741 645 Low A computer account was changed. 4742 646 Low A computer account was changed. 4743 647 Low A computer account was deleted. 4744 648 Low A security-disabled local group was created. 4745 649 Low A security-disabled local group was changed. 4746 650 Low A member was added to a security-disabled local group. 4747 651 Low A member was removed from a security-disabled local group. 4748 652 Low A security-disabled local group was deleted. 4749 653 Low A security-disabled global group was created. 4750 654 Low A security-disabled global group was changed. 4751 655 Low A member was added to a security-disabled global group. 4752 656 Low A member was removed from a security-disabled global group. 4753 657 Low A security-disabled global group was deleted. 4756 660 Low A member was added to a security-enabled universal group. 4757 661 Low A member was removed from a security-enabled universal group. 4758 662 Low A security-enabled universal group was deleted. 4759 663 Low A security-disabled universal group was created. 4760 664 Low A security-disabled universal group was changed. 4761 665 Low A member was added to a security-disabled universal group. 4762 666 Low A member was removed from a security-disabled universal group. 4767 671 Low A user account was unlocked. 4768 672,676 Low A Kerberos authentication ticket (TGT) was requested. 4769 673 Low A Kerberos service ticket was requested. 4770 674 Low A Kerberos service ticket was renewed. 4771 675 Low Kerberos pre-authentication failed. 4772 672 Low A Kerberos authentication ticket request failed. 4774 678 Low An account was mapped for logon. 4775 679 Low An account could not be mapped for logon. 4776 680,681 Low The domain controller attempted to validate the credentials for an account. 4777 N/A Low The domain controller failed to validate the credentials for an account. 4778 682 Low A session was reconnected to a Window Station. 4779 683 Low A session was disconnected from a Window Station. 4781 685 Low The name of an account was changed: 4782 N/A Low The password hash an account was accessed. 4783 667 Low A basic application group was created. 4784 N/A Low A basic application group was changed. 4785 689 Low A member was added to a basic application group. 4786 690 Low A member was removed from a basic application group. 4787 691 Low A nonmember was added to a basic application group. 4788 692 Low A nonmember was removed from a basic application group. 4789 693 Low A basic application group was deleted. 4790 694 Low An LDAP query group was created. 4793 N/A Low The Password Policy Checking API was called. 4800 N/A Low The workstation was locked. 4801 N/A Low The workstation was unlocked. 4802 N/A Low The screen saver was invoked. 4803 N/A Low The screen saver was dismissed. 4864 N/A Low A namespace collision was detected. 4869 773 Low Certificate Services received a resubmitted certificate request. 4871 775 Low Certificate Services received a request to publish the certificate revocation list (CRL). 4872 776 Low Certificate Services published the certificate revocation list (CRL). 4873 777 Low A certificate request extension changed. 4874 778 Low One or more certificate request attributes changed. 4875 779 Low Certificate Services received a request to shut down. 4876 780 Low Certificate Services backup started. 4877 781 Low Certificate Services backup completed. 4878 782 Low Certificate Services restore started. 4879 783 Low Certificate Services restore completed. 4880 784 Low Certificate Services started. 4881 785 Low Certificate Services stopped. 4883 787 Low Certificate Services retrieved an archived key. 4884 788 Low Certificate Services imported a certificate into its database. 4886 790 Low Certificate Services received a certificate request. 4887 791 Low Certificate Services approved a certificate request and issued a certificate. 4888 792 Low Certificate Services denied a certificate request. 4889 793 Low Certificate Services set the status of a certificate request to pending. 4891 795 Low A configuration entry changed in Certificate Services. 4893 797 Low Certificate Services archived a key. 4894 798 Low Certificate Services imported and archived a key. 4895 799 Low Certificate Services published the CA certificate to Active Directory Domain Services. 4898 802 Low Certificate Services loaded a template. 4902 N/A Low The Per-user audit policy table was created. 4904 N/A Low An attempt was made to register a security event source. 4905 N/A Low An attempt was made to unregister a security event source. 4909 N/A Low The local policy settings for the TBS were changed. 4910 N/A Low The Group Policy settings for the TBS were changed. 4928 N/A Low An Active Directory replica source naming context was established. 4929 N/A Low An Active Directory replica source naming context was removed. 4930 N/A Low An Active Directory replica source naming context was modified. 4931 N/A Low An Active Directory replica destination naming context was modified. 4932 N/A Low Synchronization of a replica of an Active Directory naming context has begun. 4933 N/A Low Synchronization of a replica of an Active Directory naming context has ended. 4934 N/A Low Attributes of an Active Directory object were replicated. 4935 N/A Low Replication failure begins. 4936 N/A Low Replication failure ends. 4937 N/A Low A lingering object was removed from a replica. 4944 N/A Low The following policy was active when the Windows Firewall started. 4945 N/A Low A rule was listed when the Windows Firewall started. 4946 N/A Low A change has been made to Windows Firewall exception list. A rule was added. 4947 N/A Low A change has been made to Windows Firewall exception list. A rule was modified. 4948 N/A Low A change has been made to Windows Firewall exception list. A rule was deleted. 4949 N/A Low Windows Firewall settings were restored to the default values. 4950 N/A Low A Windows Firewall setting has changed. 4951 N/A Low A rule has been ignored because its major version number was not recognized by Windows Firewall. 4952 N/A Low Parts of a rule have been ignored because its minor version number was not recognized by Windows Firewall. The other parts of the rule will be enforced. 4953 N/A Low A rule has been ignored by Windows Firewall because it could not parse the rule. 4954 N/A Low Windows Firewall Group Policy settings have changed. The new settings have been applied. 4956 N/A Low Windows Firewall has changed the active profile. 4957 N/A Low Windows Firewall did not apply the following rule: 4958 N/A Low Windows Firewall did not apply the following rule because the rule referred to items not configured on this computer: 4979 N/A Low IPsec Main Mode and Extended Mode security associations were established. 4980 N/A Low IPsec Main Mode and Extended Mode security associations were established. 4981 N/A Low IPsec Main Mode and Extended Mode security associations were established. 4982 N/A Low IPsec Main Mode and Extended Mode security associations were established. 4985 N/A Low The state of a transaction has changed. 5024 N/A Low The Windows Firewall Service has started successfully. 5025 N/A Low The Windows Firewall Service has been stopped. 5031 N/A Low The Windows Firewall Service blocked an application from accepting incoming connections on the network. 5032 N/A Low Windows Firewall was unable to notify the user that it blocked an application from accepting incoming connections on the network. 5033 N/A Low The Windows Firewall Driver has started successfully. 5034 N/A Low The Windows Firewall Driver has been stopped. 5039 N/A Low A registry key was virtualized. 5040 N/A Low A change has been made to IPsec settings. An Authentication Set was added. 5041 N/A Low A change has been made to IPsec settings. An Authentication Set was modified. 5042 N/A Low A change has been made to IPsec settings. An Authentication Set was deleted. 5043 N/A Low A change has been made to IPsec settings. A Connection Security Rule was added. 5044 N/A Low A change has been made to IPsec settings. A Connection Security Rule was modified. 5045 N/A Low A change has been made to IPsec settings. A Connection Security Rule was deleted. 5046 N/A Low A change has been made to IPsec settings. A Crypto Set was added. 5047 N/A Low A change has been made to IPsec settings. A Crypto Set was modified. 5048 N/A Low A change has been made to IPsec settings. A Crypto Set was deleted. 5050 N/A Low An attempt to programmatically disable the Windows Firewall using a call to InetFwProfile.FirewallEnabled(False) 5051 N/A Low A file was virtualized. 5056 N/A Low A cryptographic self test was performed. 5057 N/A Low A cryptographic primitive operation failed. 5058 N/A Low Key file operation. 5059 N/A Low Key migration operation. 5060 N/A Low Verification operation failed. 5061 N/A Low Cryptographic operation. 5062 N/A Low A kernel-mode cryptographic self test was performed. 5063 N/A Low A cryptographic provider operation was attempted. 5064 N/A Low A cryptographic context operation was attempted. 5065 N/A Low A cryptographic context modification was attempted. 5066 N/A Low A cryptographic function operation was attempted. 5067 N/A Low A cryptographic function modification was attempted. 5068 N/A Low A cryptographic function provider operation was attempted. 5069 N/A Low A cryptographic function property operation was attempted. 5070 N/A Low A cryptographic function property modification was attempted. 5125 N/A Low A request was submitted to the OCSP Responder Service 5126 N/A Low Signing Certificate was automatically updated by the OCSP Responder Service 5127 N/A Low The OCSP Revocation Provider successfully updated the revocation information 5136 566 Low A directory service object was modified. 5137 566 Low A directory service object was created. 5138 N/A Low A directory service object was undeleted. 5139 N/A Low A directory service object was moved. 5140 N/A Low A network share object was accessed. 5141 N/A Low A directory service object was deleted. 5152 N/A Low The Windows Filtering Platform blocked a packet. 5153 N/A Low A more restrictive Windows Filtering Platform filter has blocked a packet. 5154 N/A Low The Windows Filtering Platform has permitted an application or service to listen on a port for incoming connections. 5155 N/A Low The Windows Filtering Platform has blocked an application or service from listening on a port for incoming connections. 5156 N/A Low The Windows Filtering Platform has allowed a connection. 5157 N/A Low The Windows Filtering Platform has blocked a connection. 5158 N/A Low The Windows Filtering Platform has permitted a bind to a local port. 5159 N/A Low The Windows Filtering Platform has blocked a bind to a local port. 5378 N/A Low The requested credentials delegation was disallowed by policy. 5440 N/A Low The following callout was present when the Windows Filtering Platform Base Filtering Engine started. 5441 N/A Low The following filter was present when the Windows Filtering Platform Base Filtering Engine started. 5442 N/A Low The following provider was present when the Windows Filtering Platform Base Filtering Engine started. 5443 N/A Low The following provider context was present when the Windows Filtering Platform Base Filtering Engine started. 5444 N/A Low The following sublayer was present when the Windows Filtering Platform Base Filtering Engine started. 5446 N/A Low A Windows Filtering Platform callout has been changed. 5447 N/A Low A Windows Filtering Platform filter has been changed. 5448 N/A Low A Windows Filtering Platform provider has been changed. 5449 N/A Low A Windows Filtering Platform provider context has been changed. 5450 N/A Low A Windows Filtering Platform sublayer has been changed. 5451 N/A Low An IPsec Quick Mode security association was established. 5452 N/A Low An IPsec Quick Mode security association ended. 5456 N/A Low PAStore Engine applied Active Directory storage IPsec policy on the computer. 5457 N/A Low PAStore Engine failed to apply Active Directory storage IPsec policy on the computer. 5458 N/A Low PAStore Engine applied locally cached copy of Active Directory storage IPsec policy on the computer. 5459 N/A Low PAStore Engine failed to apply locally cached copy of Active Directory storage IPsec policy on the computer. 5460 N/A Low PAStore Engine applied local registry storage IPsec policy on the computer. 5461 N/A Low PAStore Engine failed to apply local registry storage IPsec policy on the computer. 5462 N/A Low PAStore Engine failed to apply some rules of the active IPsec policy on the computer. Use the IP Security Monitor snap-in to diagnose the problem. 5463 N/A Low PAStore Engine polled for changes to the active IPsec policy and detected no changes. 5464 N/A Low PAStore Engine polled for changes to the active IPsec policy, detected changes, and applied them to IPsec Services. 5465 N/A Low PAStore Engine received a control for forced reloading of IPsec policy and processed the control successfully. 5466 N/A Low PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory cannot be reached, and will use the cached copy of the Active Directory IPsec policy instead. Any changes made to the Active Directory IPsec policy since the last poll could not be applied. 5467 N/A Low PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory can be reached, and found no changes to the policy. The cached copy of the Active Directory IPsec policy is no longer being used. 5468 N/A Low PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory can be reached, found changes to the policy, and applied those changes. The cached copy of the Active Directory IPsec policy is no longer being used. 5471 N/A Low PAStore Engine loaded local storage IPsec policy on the computer. 5472 N/A Low PAStore Engine failed to load local storage IPsec policy on the computer. 5473 N/A Low PAStore Engine loaded directory storage IPsec policy on the computer. 5474 N/A Low PAStore Engine failed to load directory storage IPsec policy on the computer. 5477 N/A Low PAStore Engine failed to add quick mode filter. 5479 N/A Low IPsec Services has been shut down successfully. The shutdown of IPsec Services can put the computer at greater risk of network attack or expose the computer to potential security risks. 5632 N/A Low A request was made to authenticate to a wireless network. 5633 N/A Low A request was made to authenticate to a wired network. 5712 N/A Low A Remote Procedure Call (RPC) was attempted. 5888 N/A Low An object in the COM+ Catalog was modified. 5889 N/A Low An object was deleted from the COM+ Catalog. 5890 N/A Low An object was added to the COM+ Catalog. 6008 N/A Low The previous system shutdown was unexpected 6144 N/A Low Security policy in the Group Policy objects has been applied successfully. 6272 N/A Low Network Policy Server granted access to a user. N/A 561 Low A handle to an object was requested. N/A 563 Low Object open for delete N/A 625 Low User Account Type Changed N/A 613 Low IPsec policy agent started N/A 614 Low IPsec policy agent disabled N/A 615 Low IPsec policy agent N/A 616 Low IPsec policy agent encountered a potential serious failure 24577 N/A Low Encryption of volume started 24578 N/A Low Encryption of volume stopped 24579 N/A Low Encryption of volume completed 24580 N/A Low Decryption of volume started 24581 N/A Low Decryption of volume stopped 24582 N/A Low Decryption of volume completed 24583 N/A Low Conversion worker thread for volume started 24584 N/A Low Conversion worker thread for volume temporarily stopped 24588 N/A Low The conversion operation on volume %2 encountered a bad sector error. Please validate the data on this volume 24595 N/A Low Volume %2 contains bad clusters. These clusters will be skipped during conversion. 24621 N/A Low Initial state check: Rolling volume conversion transaction on %2. 5049 N/A Low An IPsec Security Association was deleted. 5478 N/A Low IPsec Services has started successfully.

Рэнди Франклин Смита (CISA, SSCP, Security MVP) рекомендует обратить внимание на 10 важных событий (event IDs) для обеспечения информационной безопасности в Microsoft Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 645, 4771   
(Аудит входа в систему)
Происшествие 657/4771 на контроллере домена обозначает неудачную попытку входа через Kerberos на рабочем компьютере с доменной учетной записью. Как правило причина — не правильный пароль, но по коду ошибки можно узнать почему именно аутентификация неудачна. Смотрите ниже таблицу кодов ошибок Kerberos.

2) 676, Failed 672, 4768
(Аудит входа в систему) 
Происшествие 676/4768 относиться к другим типам неудачной аутентификации. Смотрите ниже таблицу кодов ошибок Kerberos.
Обратите внимание что в Windows 2003 событие отказа вместо 676 записывается как 672.

3) 681, Failed 680, 4776
(Аудит входа в систему) 
Происшествие 675/4776 на контроллере домена говорит о неудачной попытке входа в ОС через
NTLM под доменной учетной записью. Код самой ошибки говорит, почему аутентификация неудача.
Коды ошибок NTLM можно увидеть ниже.
Обратите внимание что в Windows 2003 событие отказа вместо 681 записывается как 680.

4) 642/4738 
(управление учетной записью)
Изменения в учетной записи, такие как активация, деактивация, сброс пароля. Описание уточняется в зависимости  от типа изменения.

5) 636/4732 (локальная); 632/4728 (глобальная); 660/4756 (общая)
( управление учетной записью)
Пользователь добавлен в группу. Обозначены Локальная (Local), Глобальная (Global), Общая (Universal) в зависимости от каждого ID.

6) 624/4720 
(управления учетными записями)
Создана учетная запись

7) 644/4740
(управления учетными записями)
Учетная запись была заблокирована после неудачных попыток входа

 517/1102
(системные события)
Пользователь очистил журнал безопасности

Вход/выход (Logon/Logoff)

Event Id — Описание

528/4624 — Удачный вход в систему
529/4625 — Неудачный вход в систему. Неверный пароль или неизвестное имя пользователя
530/4625 — Неудачный вход в систему. Вход не был совершен в течение указаного периода времени
531/4625 — Неудачный вход в систему. Учетная запись пользователя временно деактивирована
532/4625 — Неудачный вход в систему. Срок использования учетной записи пользователя истек
533/4625 — Неудачный вход в систему. Пользователю запрещено входить в систему на указаном компьютере
534/4625/5461 — Неудачный вход. Пользователю запрещен данный тип входа на указаном компьютере
535/4625 — Неудачный вход. Срок действия пароля истек
539/4625 — Неудачный вход. Учетная запись пользователя заблокирована
540/4624 — Успешный вход в систему по сети (Только Windows XP, 2000, 2003)

Типы входов (Logon Types)

Тип входа — Описание

2 — Интерактивный (клавиатура или экран системы)
3 — Сетевой (к примеру подключение по сети к расшареной папке компьютера или IIS вход)
4 — Пакет (batch) (запланированная задача, например)
5 — Служба (Запуск службы)
7 — Разблокировка (например компьютер с защищенным паролем хранителем экрана)
8 — NetworkCleartext (Часто означает вход в IIS с “базовой аутентификацией”. Вход с правами (credentials), пересланными в виде текста.)
9 — NewCredentials
10 — RemoteInteractive (Удаленный рабочий стол, удаленный помощник, терминальные службы )
11 — CachedInteractive (вход с закешированными полномочиями, к примеру, вход на компьютер, который не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя учетной записи пользователя не существует.
12 —Ограничение времени входа, ограничение компьютера.
18 — Учетка заблокирована, деактивирована, истек ее срок действия.
23 — Истек срок действия пароля.
24 — Предварительная аутентификация не удачная; как правило неверный пароль
32 — Истек срок действия заявки. Это нормальное событие.
37 — Время на компьютере давно не синхронизировалось с контроллером домена

Коды ошибок NTLM

Код ошибки (16-ричная система) — Код ошибки (десятичная система) — Описание

C0000064 — 3221225572 — Имя пользователя не существует
C000006A — 3221225578 — Верное имя, но не правильный пароль
C0000234 — 3221226036 — пользователь заблокирован
C0000072 — 3221225586 — Учетка деактивирована
C000006F — 3221225583 — вход вне рабочее время
C0000070 — 3221225584 — Ограничение локальной станции
C0000193 — 3221225875 — срок действия учетной записи истек
C0000071 — 3221225585 — срок действия пароля Истек
C0000224 — 3221226020 — необходимо сменить пароль при следующем входе

P.S. Для автоматизации работы с журналами событий можно использовать  NetWrix Event Log Manager, она умеет собирать и архивировать журналы событий, оповещать в режиме реального времени и строить отчеты,  предупреждать о критических событиях. Есть бесплатная версия для 100 компьютеров и 10 контроллеров домена — netwrix.com/ru/event_log_management.html

Оригинал: habr.ru/post/148501/

Понравилось? =) Поделись с друзьями:

Обновлено 29.03.2023

net stop netlogon && net start netlogonДобрый день! Уважаемые читатели и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами рассматривали границы применения групп Active Directory, и надеюсь вы разобрались, где и какие следует использовать. Сегодня я хочу рассмотреть, очень частую и жизненную ситуацию, которая есть в любой доменной среде, а именно блокировка учетной записи Windows в Active Directory. Данную проблему вы легко встретите на предприятиях, где есть свои политики PSO и политики смены паролей. Так, что давайте прокачаем свои знания и научимся разбираться в данной ситуации.

Причина блокировки пользователя Active Directory

Давайте разбираться, какие существуют причины блокирования учетных записей пользователей в Active Directory. Как я и говорил выше, данная ситуация существует в компаниях, где есть политики паролей, которые подразумевают блокировку учетной записи при вводе определенного количества не правильных паролей, это правильно с точки зрения безопасности и выявления таких случаев, когда кто-то пытается скомпрометировать ваши ресурсы.

Вот так вот выглядит сообщение о блокировке:

Как видите в моем примере, пользователь по имени Барбоскин Геннадий Викторович не может начать работать, так как залочен.

Если в оснастке Active Directory — Пользователи и компьютеры, посмотреть свойства заблокированной учетной записи на вкладке «Учетная запись», то вы обнаружите статус:

Ставим галку и разблокируем учетную запись. После этого нужно выявлять причины.

Из основных причин блокировки я могу выделить:

• Идет подбор пароля, так называемый брутфорс, что в итоге приводит к блокировкам
• Бывают моменты, что человек пришел из отпуска и напрочь забыл свой пароль, ввел его несколько раз не правильно, чем вызвал блокирование
• После изменения пароля, у пользователя остались старые подключения WIFI на компьютере или телефоне со старыми учетными данными, которые пытаются автоматически подключиться к сервисам компании, это является основной причиной блокировки в Active Directory
• Как и в случае с WIFI, у пользователя после смены пароля, могут быть закэшированные, старые пароли в доступах к сетевым шарам, Outlook календарям и другим программам, которые однажды попросили ввести логин и пароль.
• Иногда бывают задания в планировщике Windows, которые запускались от имени пользователя, а не системы
• Забытые сессии на удаленном рабочем столе, был у меня случай когда у пользователя были права и он подключался по RDP к серверу. потом у него права забрали, а сессию разлогинить забыли, в итоге у него меняется пароль и его начинает каждый день по 5-10 раз блокировать, пака сессию не убили, проблема была актуальной.
• Сохраненные пароли в браузерах
• Службы работающие из под доменной учетной записи

Где настраивается политика блокировки учетных записей в домене

По рекомендациям компании Microsoft, политику блокировки учетной записи Windows настраивают на уровне домена, и чаще всего используют для этого уже имеющуюся политику «Default Domain Policy».  Открываем редактор групповой политики и щелкаем правым кликом мыши по политике «Default Domain Policy», из контекстного меню выберите пункт «Изменить».

Переходим с вами по пути: Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей (Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy)

Тут в политике будет три пункта:

• Время до сброса счетчика блокировки (Reset account lockout counter after) — в данном параметре задается, через какое количество времени система обнулит счетчик неудачных попыток авторизации. (Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. ). В моем примере я настроил политику «Время до сброса счетчика блокировки» на 10 минут, думаю больше не стоит.

• Пороговое значение блокировки (Account lockout threshold) — Тут вы задаете, сколько будет допустимых неправильных попыток ввода, после превышения которых учетная запись Windows будет заблокирована (Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему).  Я в своей политике задал пороговое значение блокировки равным 5-ти, этого думаю хватит, чтобы правильно ввести свой пароль.

• Продолжительность блокировки учетной записи (Account lockout duration) — ну тут все просто, собственно время блокировки учетной записи Windows в Active Directory. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.

Как выяснить причину блокировки учетной записи

Выше я вас рассказал, из-за чего может все лочиться, теперь нужно выяснить с какого компьютера или устройств, это происходит. Ко мне на работе за неделю попадает 5-7 заявок с подобным вопросом, пользователь сменил пароль и у него началась веселая игра под названием угадайка, где я оставил свои старые данные, по которым меня банит контроллер домена. Чтобы однозначно ответить на этот вопрос вам как системному администратору необходимо настроить специальную политику аудита, призванную следить за соответствующими событиями по которым вы сможете дать однозначный ответ по причинам блокировок. По умолчанию данный вид аудита не настроен.

Про аудит Active Directory я подробно рассказывал, можете посмотреть по ссылке, тут я приведу легкую его выдержку, для полноты статьи. Нам нужно включить политику аудита входа, на уровне домена. (Так же вы можете подробно почитать про расширенный аудит, дающий более тонкие настройки https://technet.microsoft.com/ru-ru/library/mt431761%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396)

Включение политики аудита входа

Открываем редактор групповой политики и находим в нем дефолтную политику «Default Domain Policy», открываем ее и переходим по такому пути.

Тут будут такие политики:

1. Аудит входа в систему
2. Аудит доступа к объектам
3. Аудит доступа к службе каталогов
4. Аудит изменений политики
5. Аудит использования привилегий
6. Аудит отслеживания процессов
7. Аудит системных событий
8. Аудит событий входа в систему
9. Аудит управления учетными записями

Нас будет интересовать включение аудита входа в систему, именно данный вид будет генерировать события 4771 и 4624. Открываем ее и ставим галки «Успех и отказ»

Так же советую задать политику аудита событий входа в систему, так же установите «Успех и отказ»

Ну и настроим еще таким же способом «Аудит управления учетными записями«, чтобы мы видели события с кодом 4740.

Когда политика настроена, то вы можете ее принудительно обновить или дождаться автоматического обновления в течении 90-120 минут.

Какие события отслеживать в журнале безопасность

Чтобы отследить устройство вызывающее блокировки учетной записи, нужно понять алгоритм работы данного механизма. Когда кто-то пытается вводить учетные данные в Active Directory, то он идет на ближайший к нему контроллер домена (Кстати выяснить какой контроллер домена вас аутентифицировал можно очень просто, я об этом рассказывал, если интересно, то посмотрите). Данный контроллер домена видит, что пользователь предоставляет некорректные учетные данные и отсылает этот запрос аутентификации на контроллер, который обладает ролью PDC и FSMO. Так как данная роль PDC-эмулятор и отвечает в доменной среде за обработку блокировок учетных записей. Если PDC-эмулятор видит не корректные данные, то он возвращает ответ контроллеру домена, который ему это прислал, что аутентификация не возможна, и в следствии этого генерируется событие 4740, на обоих контроллерах

• 4771 — Это событие возникает каждый раз, когда не удается центром распространения ключей для выдачи Kerberos билетов предоставить билета (TGT). Это может произойти, когда контроллер домена не установлен сертификат для проверки подлинности смарт-карты (например, с помощью «Контроллера домена» или «Проверка подлинности контроллера домена» шаблона), истек срок действия пароля пользователя или неправильный пароль был предоставленные. 4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. (Подробнее про 4771 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4771)

• 4776 — Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Если происходит сбой попытки проверки учетных данных, вы увидите, что событие отказов с значение параметра Код ошибки не равно «0x0» (Подробнее про событие 4476 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4776)

• 4740 — Учетная запись указанного пользователя была заблокирована после нескольких попыток входа (Подробнее про событие 4740 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4740)
• 4662 — Это событие создается только в том случае, если соответствующие SACL настроен для объекта Active Directory и выполнить операцию не удалось (Подробнее https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4662).
• 5136 — Объект службы каталогов был изменен (A directory service object was modified)

Как удобно отслеживать события блокировки

Я приведу примеры, как это делаю я и как это можно автоматизировать и оповещать вас заранее, чем это сделает представитель технической поддержки. Самый правильный вариант, это использование систем мониторинга, таких как SCOM или Zabbix, но если их нет, то можно упростить себе жизнь вот такими утилитами. Могу точно сказать, что у вас в компании, как минимум не один контроллер домена, в противном случае у вас проблемы. Бегать по каждому из контроллеров домена, это не лучший вариант, правильнее будет либо перенаправлять все события на централизованный коллектор или же воспользоваться двумя волшебными утилитами, которые вам упростят жизнь.

Я вам рассказывал про набор утилит от компании Microsoft под названием Active Directory ALTools. Там была утилита LockoutStatus.exe. В задачи которой и входило определение статуса пользовательской учетной записи, заблокирована она или нет, и если до, то на каком контроллере домена. Скачайте ее и запустите. Нажимаете пункт меню «File — Select Target», для того чтобы выбрать логин нужной учетной записи.

В поле «Target User Name» вы указываете логин пользователя, кто подвергся блокировке в Active Directory.

На выходе вы получите отчет по всем контроллерам в домене, о статусе вашей учетной записи. Как видите, мой Барбоскин Геннадий Викторович заблокирован и имеет статус «Locked», видно количество попыток неправильного ввода пароля (Bad Pwd Count) и на каких контроллерах домена, на них мы и будем искать нужные нам события, о которых я говорил выше.

Открываем просмотр событий на нужном контроллере домена. Переходим в журнал «Безопасность (Security)» именно в нем кроется причина блокировки учетной записи Барбоскина Геннадия. Так как событий огромное количество, то нам нужно отфильтровать наш журнал событий. Для этого есть кнопка «Filter Current Log (Фильтр текущего журнала)», она позволит нам выбрать только те события, которые нам нужны.

В поле «Logged (Дата)» указываем за какой срок нужны данные, я укажу 12 часов, и в поле все события, укажем номер ID 4740 и нажимаем «Ок»

Видим нашлось 50 событий, но может быть и больше и чтобы ускорить поиск нужного события, мы воспользуемся поисков, для этого нажмите кнопку «Find (Поиск)»

В поисковом поле указываем нужный вам логин учетной записи Windows и нажимаем поиск, если сообщений много, то он может слегка подвисать, не переживайте по этому поводу.

В итоге у меня нашлось событие с кодом 4740, из которого видна причина блокировки учетной записи. В данном случае это рабочая станция с именем SVTTSETMAIN01, это тестовая виртуальная машина, как видите тут статус «A user account was locked out», можно переходить на эту машину и смотреть в чем там дело.

В событиях 4740 вы можете встреть еще вот такие причины блокировки учетной записи Active Directory, так например у меня имя сервера, где происходит блокирование EXchange, означает, что проблема в Outlook или его календарем. Я вам рассказывал, где кэшируются его данные доступа, в заметка Outlook постоянно запрашивает пароль.

В моей компании используются сервисы Google, такие как G-Sute и общие файловые диски, и вот при смене пароля пользователем, в данных утилитах могут остаться старые данные, в результате чего вы будите видеть в логах в компьютере блокировки имя WORKSTATION. Думаю с событием 4740 все понятно, но оно не всегда показывает подробный источник блокировки, поэтому нужно смотреть событие 4771.

Вот пример блокировки из-за WiFI подключения, об это мне говорит имя компьютера CISCO точки доступа. Как видите причин может быть очень много.

Более подробную причину блокировки учетной записи Windows на покажет событие 4771. Сделаем так же фильтрацию и по нему. Основное сообщение тут «Kerberos pre-authentication failed», обратите внимание тут есть IP-адрес, что уже хорошо, это дополнительная информация, показывающая территориальный источник. В ошибка есть код отказа Kerberos, таблица была представлена выше.

Еще может быть полезным событие с кодом 4776, тут то же будет показано с какой рабочей станции была попытка ввода учетных данных.

Кстати получив IP-адрес вы можете посмотреть его mac адрес на DHCP сервере или же на сетевом оборудовании, например, Cisco, я показывал как там узнать mac-адрес.

Далее с помощью специальных сервисов можно определить, что за производитель у данного mac-адреса, сайтов в интернете полно, которые вам помогу, например, https://2ip.ua/ru/services/information-service/mac-find. Будет полезно с мобильными устройствами.

Еще полезным будет изучение события 4625, там вы можете обнаружить процесс из-за которого происходит блокировка учетных записей.

Если вы у себя в Active Directory используете определение имени системы куда был залогинен пользователь в последний раз, то для вас будет полезно событие IS 5136. Тут в конкретное поле у меня записывается имя компьютера, и вот пробежавшись по таким событиям, я обнаружил, что имя компьютера там бывает разное, что подсказывает, где еще от имени пользователя могут идти попытки с неправильным паролем и как следствие, блокировка учетной записи.

Как видите утилита от компании Mirosoft отлично работает, но можно посмотреть, что-то более удобное, мне нравится утилита Account Lockout Examiner от Netwrix, она бесплатная и позволяет создавать портал для технической поддержки, где они могут видеть кто заблокирован и разблокировать его, а так же причину и она умеет посылать оповещения по электронной почте.

Утилита Account Lockout Examiner проста в установке и потребует от вас две вещи:

1. Указание имени домена для поиска событий блокировки учетных записей Windows
2. Учетные данные от имени которых будет обращение к контроллерам домена

Через некоторое время вы получите табличку со всем пользователями у кого наблюдаются проблемы с блокировкой учеток. Тут вы увидите столбец «Workstation» в котом вы увидите адрес устройства блокировки, есть поле Bad Pwd Count показывающее количество попыток неправильно введенного пароля и дата последнего ввода. В самом конце вы увидите статусы пользователей Not locked или Locked.

Тут же вы можете через правый клик разблокировать пользователя.

В настройках Account Lockout Examine вы можете указать адрес электронной почты и сервер, для уведомлений, о событиях блокировки пользователей.

Если развернете IIS на данном сервер, где установлена утилита, то сможете создать портал для технической поддержки, где можно делегировать права на разблокировку пользователей.

Поиск компьютера блокирующего пользователя через PowerShell

PowerShell, очень мощное средство позволяющее сделать очень многое, вот пример поиска устройства из-за которого блокируется учетная запись. Открываем PowerShell ISE и вводим код:

Единственное не забудьте поменять в $Username = ‘username1’ на своего пользователя, можете скачать уже готовый скрипт у меня. На выходе вы получаете имя компьютера.

Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:

Еще один вариант скрипта, тут я обращаюсь к конкретному серверу, куда идет форвардинг событий со всех контроллеров домена.

И еще мой любимый вариант поиска блокировок пользователя, это такой скрипт:

• тут у нас есть возможность указать явно пользователя, что мы ищем и вывести самые полезные значения.

Надеюсь, что мой скромный опыт слегка вам поможет в поиске причин, по которым у вас в домене блокируются учетные записи Active Directory.

Включение ведения расширенного журнала отладки для службы Netlogon (Обновление 04.01.2023)

Январские праздники, идеальное время чтобы забыть пароль, после чего конечно же человека заблокирует. Вот реальный пример, есть коллега отвечающий за работу 1С, потребовалось выполнить какую-то работу в начале января, но сотрудник не смог его учетная запись была заблокирована. В логах видно, что 3от имени учетной записи пользователя в секунду прилетает по несколько неудачных попыток входа, о чем говорит код 0x000006A, а после чего идет статус «Заблокирована учетная запись пользователя«, при активации учетной записи, все мгновенно повторяется.

После этого журнал был забит:

К сожалению описанные выше ID событий толком не помогли и не показали, откуда идет блокировка, забегу вперед, это оказалась Linux виртуальная машина, поэтому она и не представилась службе Netlogon и не фигурировала в поле «Caller Computer Name«

Еще так же вы можете увидеть ID 4740, но со странным содержанием:

Тут главное запомнить на каком контроллере оно появилось, не всегда это PDC эмулятор, далее откройте вкладку «Details» и включите XML View. Там подробнее все будет структурировано, но к сожалению вы не увидите. откуда проблема.

Чтобы решить эту ситуацию с блокировкой учетной записи, нам нужно на контроллере домена, где это происходит включить ведения расширенного журнала отладки для службы Netlogon.

Это позволит записывать трассировки для Netlogon и получать кучу дополнительных сведений. Описанная ниже команда подойдет для Windows Server 2019/2022,  Windows Server 2016 и Windows Server 2012 R2. К командной строке в режиме администратора введите:

Далее перезапустим службу:

После того, как вы активировали ведение расширенного журнала Netlogon, у вас по пути %windir%debugnetlogon.log будет файл лог.

Для отключения расширенного режима (Когда посчитаете нужным) введите:

Я начал изучать логи на DC1. Быстро пробежаться по файлу можно командой:

kom — это искомый логин.

Или как я это делаю в LogViewPlus. В результате я обнаружил, что события блокировки идут от другого контроллера домена из корневого домена. Включаю на DC07 так же режим расширенного ведения логов Netlogon.

На DC07, я уже в журнале netlogon.log увидел кто обращается к контроллеру DC07. оказалось, что это файловая нода кластера DFS. Идем на нее и смотрим логи.

И вот уже анализируя логи на DFS ноде, я увидел в событии ID 4625, что учетной записи не удалось выполнить вход в систему с сетевого адреса источника, где указан был его IP-адрес. БИНГО. После того, как утилита nslookup показа кто, это стало все понятно. Это был Linux сервер, которому до лампочки на службу Netlogon, чтобы ей представляться, внутри этого сервера была смонтирована сетевая шара на эту DFS ноду с учетными данным пользователя.

В результате от монтировали файловую шару и учетную запись удалось разблокировать.

Блокировка учетной записи не в домене Active Directory

В случае с Active Directory все понятно, а как быть если учетная запись заблокировалась на вашем локальном, домашнем компьютере. Тут две ситуации, если у вас есть заблокировалась одна из нескольких учетных записей и у других записей есть права администратора, то вы можете все разблокировать, и вторая ситуация, если у вас одна учетная запись и она залочилась, тут будет повеселее, но так же все поправимо. Я опущу причины блокировки, вероятнее всего у вас стоит политика блокировки и вы ее можете поправить через локальную, для этого в окне выполнить напишите gpedit.msc и отключите пункты, о которых я писал в самом начале, либо же с вами кто-то подшутил таким образом выставив вам эту политику, но не суть.

Как разблокировать учетную запись в Windows 10 имея вторую учетку

Если у вас блокировка учетной записи windows 10 уже свершилась, и есть в наличии вторая учетная запись, например у папы своя у мамы своя, то сделайте следующее. Чтобы снять блокировку активируйте учетную запись, откройте окно выполнить, через сочетание клавиш WIN и R и введите название оснастки lusrmgr.msc

Открываем контейнер «Пользователи» и находим нужного нам, переходим в его свойства

Снимаем у нее галку «Заблокировать учётную запись» и нажимаем применить, все учетная запись теперь будет в рабочем состоянии.

Как разблокировать свою учётную запись Windows, если нет административного доступа

Чтобы обойти блокировку учетной записи, можно пойти двумя путями, легким и посложнее. Самый простой способ разблокировать учетную запись не имя административных прав, это воспользоваться загрузочным диском SonyaPE. Когда вы сделаете из него загрузочную флешку и загрузитесь с нее, то получите рабочий стол Windows 7. Там есть утилита Active@ Password Changer Professional 3.8, которая позволит вам включить и сбросить пароль от встроенной учетной записи Администратор, которая есть в любой операционной системе Windows, далее зайдя под ней вы разблокируете нужную нам учетную запись, как я описывал выше.

Как видите этот метод позволяет обойти блокировку учетной записи, но он не единственный, допустим у вас под рукой нет такого диска, как SonyaPE, что делать. Можно воспользоваться встроенными средствами восстановления Windows или же ими, но на любом установочном диске с Windows вашей редакции. В заметке «Как вернуть предыдущую версию виндоус 10» я показал метод попадания в дополнительные инструменты Windows 10.

Либо вы можете попасть в эти утилиты, через инструменты восстановления системы, о которых шла речь в заметке про восстановление загрузчика Windows 10.

В том и в другом случае, вам необходимо открыть командную строку.

Выбираем раздел HKEY_LOCAL_MACHINE, после чего в меню «Файл» выберите пункт «Загрузить куст».

У вас откроется проводник Windows. В моем компьютере, перейдите по пути WindowsSystem32Config. В этой папке лежит файл локальной базы данных пользователей, по имени SAM. Выбираем его и открываем.

Задаем имя новому кусту, для примера это будет 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Переходим в ней по пути: 777 – SAM – Domains – Account – Users – Names. Тут вам необходимо идентифицировать вашу учетную запись, которая находится в блокировке. В моем примере, это Василий. Выбрав Васю, посмотрите, что по умолчанию он имеет значение 0x3f8

Выбираем теперь куст 00003f8. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно.

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее «Выгрузить куст». Все необходимые изменения внесены.

Перезагружаем ваш компьютер и пробуем войти под вашей учетной записью, она уже не должна быть заблокирована. На этом все, с вами был Семин Иван, автор и создатель IT блога Pyatilistnik.org.