Новый участник
Сообщения: 11
Благодарности: 2
|
Профиль
|
Отправить PM
| Цитировать
Цитата Petya V4sechkin:
Посмотрите в Autoruns на вкладке WinLogon - Credential Providers, а также на вкладке LSA Providers, нет ли сторонних (меню Options - Hide Microsoft Entries) модулей. »
|
На вкладке WinLogon - Credential Providers нет сторонних модулей.
На вкладке LSA Providers есть один сторонний модуль - Модуль поддержки SSL в SSP/AP от Компания КРИПТО-ПРО ProductName КриптоПро CSP ProductVersion 5.0.12000.0.
ДОБАВЛЕНО. Если удалить КриптоПро, проблема сохраняется.
Цитата:
в журналах событий по этому поводу что-нибудь есть?
|
Включил аудит событий.
Записал в анимированный gif попытки запуска программы. Неправильно задал размер экрана, но главное видно. Видно, что при первой попытке программа запустилась успешно, а при второй попытке пришлось вводить данные два раза. Запускаю от имени TempAdmin с паролем 11.
Содержимое процесса аудита из журналов в разных форматах:
Log.zip
Содержимое процесса аудита из журналов в текстовом виде (самые свежие записи вверху)
Ключевые слова,Дата и время,Источник,Код события,Категория задачи
Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4672,Специальный вход,"Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x92263d
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege"
Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
Тип входа: 2
Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x922651
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
Тип входа: 2
Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x92263d
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4648,Вход в систему,"Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
GUID входа: {00000000-0000-0000-0000-000000000000}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Сетевой адрес: ::1
Порт: 0
Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS."
Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0x0"
Аудит отказа,10.11.2023 12:38:27,Microsoft-Windows-Security-Auditing,4625,Вход в систему,"Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x298
Имя процесса вызывающей стороны: C:\Windows\System32\svchost.exe
Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Аудит отказа,10.11.2023 12:38:27,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0xc000006a"
Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4672,Специальный вход,"Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175d4
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege"
Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
Тип входа: 2
Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175ee
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
Тип входа: 2
Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175d4
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4648,Вход в систему,"Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
GUID входа: {00000000-0000-0000-0000-000000000000}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe
Сведения о сети:
Сетевой адрес: ::1
Порт: 0
Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS."
Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0x0"
Аудит успеха,10.11.2023 12:37:39,Microsoft-Windows-Eventlog,1102,Очистка журнала,"Журнал аудита был очищен.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Имя домена: WIN-88MR82T91MF
ИД входа: 0x6c371"
|