Event Viewer - ветка Security

Ivan Bardeen · Отправлено: **11:59, 16-12-2009** | #2

Параметры аудита в политике какие настроены? (посмотреть можно выполнив команду rsop.msc)

monkkey · Отправлено: **12:06, 16-12-2009** | #3

Наверняка - изменение файлов )
dodger,
А коды событий и их описание слабо посмотреть?

dodger · Отправлено: **13:06, 16-12-2009** | #4

Коды говорят обратное - это вход и выход пользователя, изменение привилегий: 538, 540, 576. Вот такие коды там фигурируют.

Ivan Bardeen · Отправлено: **13:13, 16-12-2009** | #5

Цитата dodger:

изменение привилегий »

Поробуйте отключить аудит использования привелегий

dodger · Отправлено: **13:26, 16-12-2009** | #6

Audit Privilege use = No auditing
Он отключен по умолчанию. Видимо дело в другом.

Да, только сейчас обратил внимание. От обычных пользователей записей мало, главный мусорщик - это SYSTEM.

monkkey · Отправлено: **09:04, 17-12-2009** | #7

Просмотрите процессы, запущенные от SYSTEM - нет ли чего подозрительного. Что из "необычных" программ на сервере установлено?
Гляньте http://www.eventid.net/display.asp?e...curity&phase=1, приведите полные тексты сообщений с этими кодами от SYSTEM. Допустим, у меня на прокси-сервере похожая картина, когда у пользователя, например, нет прав на выход в Интернет, а шлюз по умолчанию именно этот, или он пытается запустить броузер и получает запрет.
Logon Failure:
Reason: Unknown user name or bad password
User Name: olga
Domain: PC001
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: PC001

dodger · Отправлено: **10:44, 17-12-2009** | #8

Event id: 540

Код:

Successful Network Logon:
 	User Name:	LKI-AD$
 	Domain:		LENKOR
 	Logon ID:		(0x0,0x1A9CBFE4)
 	Logon Type:	3
 	Logon Process:	Kerberos
 	Authentication Package:	Kerberos
 	Workstation Name:	
 	Logon GUID:	{004c14fc-8c0d-fab9-f8dc-493a31d7a543}
 	Caller User Name:	-
 	Caller Domain:	-
 	Caller Logon ID:	-
 	Caller Process ID: -
 	Transited Services: -
 	Source Network Address:	192.168.0.2
 	Source Port:	4661

Event id: 538

Код:

User Logoff:
 	User Name:	LKI-AD$
 	Domain:		LENKOR
 	Logon ID:		(0x0,0x1A9CBFE4)
 	Logon Type:	3

Event id: 576

Код:

Special privileges assigned to new logon:
 	User Name:	LKI-AD$
 	Domain:		LENKOR
 	Logon ID:		(0x0,0x1A9CC0AB)
 	Privileges:	SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege
			SeEnableDelegationPrivilege

Ivan Bardeen · Отправлено: **10:56, 17-12-2009** | #9

Список установленного ПО на сервере огласите

dodger · Отправлено: **14:16, 17-12-2009** | #10

Symantec Antivirus
Friendly Pinger
DameWare
NormaCS
Adobe Reader