Когда закроют windows xp — Ваш верный помощник с OS Windows

Last Updated on February 28, 2025 by Satyendra

Microsoft’s Windows Event Viewer shows a log of system and application messages. These messages include errors, warnings, and information about certain events that can be scrutinized by the administrator to help troubleshoot problems. Administrators and regular users can open the Event Viewer on a local or remote machine, assuming they are authorized to do so. To open on your local Windows machine, simply type “Event Viewer” into the search box at the bottom of the screen, and the option to open it should appear. Audit failures are typically generated when a logon request fails, although they can also be generated by changes to accounts, objects, policies, privileges, and other system events.

An audit policy defines the types of events that are recorded in the Security logs. Each company will be responsible for establishing its own audit policy, based on the threats they face, and their ability to mitigate them. However, Windows will recommend settings that can be used as a baseline for system administrators to work from. An effective audit policy will help admins identify potential security issues, monitor user activity, satisfy compliance requirements, and carry out forensic investigations following a security incident.

10 Best Practices for Keeping Active Directory Secure Follow the best practices suggested in this whitepaper, and you will be in a much better position to keep your AD secure.
Download Whitepaper

Audit Policy Categories

There are 9 audit policy categories and 50 audit policy subcategories in the Basic Audit Policy settings, which can be enabled or disabled accordingly. Audit policies generate events, which can be Success events, Failure events, or both. All audit policies will generate Success events; however, only a few of them will generate Failure events. Below is a list of the 9 audit policy categories;

Audit account logon events
Audit logon events
Audit account management
Audit directory service access
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events

As mentioned previously, audit failures usually relate to failed logon attempts, and the two most common events are; Kerberos pre-authentication failed and an account failed to log on, which are described in more detail below.

Event ID 4771 for Kerberos pre-authentication failed

Event ID 4771 is only generated on domain controllers and is not generated if the “Do not require Kerberos preauthentication” option is set for the account. According to Microsoft’s website, “this event generates every time the Key Distribution Center fails to issue a Kerberos Ticket Granting Ticket (TGT)”, which might occur if “the domain controller doesn’t have a certificate installed for smart card authentication, the user’s password has expired, or the wrong password was provided”. For more information about how to resolve this problem checkout the security monitoring recommendations for Event ID 4771 on Microsoft’s website.

Event ID 4625 for An account failed to log on

This event is generated when an account logon attempt failed, assuming the user was already locked out. This event will be generated on the device that was used for the logon attempt, in addition to any other relevant domain controllers and member servers. For more information about how to resolve this problem checkout the security monitoring recommendations for Event ID 4625 on Microsoft’s website.

Use the Advanced Audit Policy Configuration

There are two types of audit policies that you can configure; The Basic Audit Policy and the Advanced Audit Policy, which you can find in Security Settings\Advanced Audit Policy Configuration. There are 53 Advanced Audit Policy categories, as opposed to the 9 categories provided with the Basic Audit Policy settings. As such, it is generally recommended that you use the Advanced Audit Policy settings as they allow you to define a more granular audit policy and log only the events that are relevant to you. This is particularly helpful if you find yourself generating a large number of logs.

Alternatives to using Event Viewer

It’s worth noting that there are a number of third-party solutions like Lepide Auditor for Active Directory that will aggregate and correlate event data from a wide-range of sources, including any cloud-based services you use.

If you need to collect and analyze data from firewalls, Intrusion Prevention Systems (IPS), devices, applications, switches, routers, servers, and so on, then you would probably be better off with a SIEM solution.

However, most organizations are more interested in keeping track of user behavior, especially if their employees are accessing the network from remote locations. In which case a UBA (User Behavior Analytics) solution would be a better choice

These solutions will display a summary of all important events surrounding your privileged user accounts and sensitive data, via a centralized dashboard, and deliver real-time alerts to your inbox or mobile app.

If you’d like to see how the Lepide can give you a better way to audit events in your environment, schedule a demo with one of our engineers or download the free trial.

Auditing

Источник

Время на прочтение17 мин

Количество просмотров100K

Уважаемые друзья, в предыдущих публикациях мы говорили об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также провели анализ основных стандартов по управлению рисками информационной безопасности и обсудили системы класса IRP, предназначенные для автоматизации реагирования на инциденты ИБ. Как мы знаем, при обработке инцидентов детальный анализ событий безопасности с устройств является одним из ключевых этапов. В данной публикации мы рассмотрим настройку подсистемы аудита ОС Windows, принципы анализа и централизованного сбора журналов аудита с Windows-устройств и их пересылку в SIEM-систему IBM QRadar, а также покажем, как можно с помощью штатных средств Windows и утилиты Sysmon настроить простейшую систему реагирования на инциденты ИБ. Вперед!

Для решения задачи обработки инцидентов ИБ логично рассуждать, что чем больше данных (логов, событий безопасности) мы собираем, храним и анализируем, тем проще нам будет в дальнейшем не только оперативно среагировать на инцидент, но и расследовать обстоятельства произошедших атак для поиска причин их возникновения. При этом большое количество данных для обработки имеет и очевидный минус: нас может просто «засыпать» сообщениями, алертами, уведомлениями, поэтому необходимо выбрать самые значимые с точки зрения ИБ события и настроить соответствующие политики аудита. Microsoft предлагает использовать бесплатный набор утилит и рекомендаций (Baselines) в своем наборе Microsoft Security Compliance Toolkit, в котором в том числе приведены и рекомендуемые настройки аудита для контроллеров домена, рядовых серверов и рабочих станций. Кроме рекомендаций вендора можно обратиться еще к документам CIS Microsoft Windows Server Benchmark и CIS Microsoft Windows Desktop Benchmark, в которых, в числе прочего, указаны рекомендуемые экспертами политики аудита для, соответственно, серверных и десктопных версий ОС Windows. Однако зачастую выполнение абсолютно всех рекомендаций неэффективно именно по причине потенциального появления большого количества «шумящих», малозначительных с точки зрения ИБ событий, поэтому в настоящей статье мы сначала приведем список наиболее полезных и эффективных (с нашей точки зрения) политик аудита безопасности и соответствующих типов событий безопасности ОС Windows.

Напомню, что в ОС Microsoft Windows, начиная с Microsoft Windows Server 2008 и Vista, используется достаточно продвинутая система аудита, настраиваемая при помощи конфигурирования расширенных политик аудита (Advanced Audit Policy Configuration). Не стоит забывать о том, что как только на устройствах будут включены политики расширенного аудита, по умолчанию старые «классические» политики аудита перестанут быть эффективными, хотя данное поведение может быть переопределено в групповой политике «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии))» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings).

Политики аудита Windows

Пройдем последовательно по настройкам, эффективным для решения задач аудита ИБ и выработки целостной политики аудита безопасности.

Категория аудита	Подкатегория аудита	События аудита	EventID	Комментарии
Вход учетной записи	Аудит проверки учетных данных	Успех, Отказ	4776	Целесообразно контролировать на домен-контроллерах при использовании NTLM-аутентификации.
Аудит службы проверки подлинности Kerberos	Успех, Отказ	4771	Неуспешная аутентификация учетной записи на контроллере домена с использованием Kerberos-аутентификации.
4768	Запрос билета Kerberos, при этом следует анализировать коды ответа сервера.
Примечание: Данный тип аудита следует включать на контроллерах домена, при этом для детального изучения попыток подключения и получения IP-адреса подключающегося устройства на контроллере домена следует выполнить команду nltest /dbflag:2080ffff и проводить аудит текстового лог-файла %windir%\debug\netlogon.log
Управление учетными записями	Аудит управления учетными записями компьютеров	Успех	4741	Заведение устройства в домен Active Directory; может использоваться злоумышленниками, поскольку любой пользователь домена по умолчанию может завести в домен 10 устройств, на которых может быть установлено неконтролируемое компанией ПО, в том числе вредоносное.
Аудит управления группами безопасности	Успех, Отказ	4728	Добавление члена глобальной группы.
4732	Добавление члена локальной группы.
4756	Добавление члена универсальной группы.
Аудит управления учетными записями пользователей	Успех, Отказ	4720	Создание учетной записи.
4725	Отключение учетной записи.
4740	Блокировка учетной записи.
4723	Смена пароля.
4724	Сброс пароля.
Подробное отслеживание	Аудит создания процессов	Успех	4688	При создании процесса.
4689	При завершении процесса.
Примечание: Чтобы для командного интерпретатора велась запись введенных команд, следует включить политику «Конфигурация компьютера — Конфигурация Windows — Административные шаблоны — Система — Аудит создания процессов -> Включать командную строку в события создания процессов». Примечание: Чтобы велась запись выполняемых PowerShell-команд и загруженных PowerShell-модулей, следует включить в каталоге «Конфигурация компьютера — Конфигурация Windows — Административные шаблоны — Компоненты Windows — Windows PowerShell» политики «Включить ведение журнала модулей» (в настройках политики указать все модули символом «*») и «Включить регистрацию блоков сценариев PowerShell» (в настройках политики отметить check-box «Регистрация начала или остановки вызова блоков сценариев»). Работа PowerShell-скриптов регистрируется с EventID=4104,4105,4106 в журнале Microsoft-Windows-PowerShell/Operational, а загрузка PowerShell-модулей регистрируется с EventID=800 в журнале Windows PowerShell.
Вход/выход	Аудит выхода из системы	Успех	4634	Для неинтерактивных сессий.
4647	Для интерактивных сессий и RDP-подключений.
Примечание: При этом следует обращать внимание на код Logon Type, который показывает тип подключения (интерактивное, сетевое, с закэшированными учетными данными, с предоставлением учетных данных в открытом виде и т.д.).
Аудит входа в систему	Успех, Отказ	4624	При успешной попытке аутентификации, создается на локальном ПК и на домен-контроллере при использовании NTLM и Kerberos-аутентификации.
4625	При неуспешной попытке аутентификации, создается на локальном ПК и на домен-контроллере при использовании NTLM аутентификации; при Kerberos-аутентификации на контроллере домена создается EventID=4771.
4648	При попытке входа с явным указанием учетных данных, например, при выполнении команды runas, а также при работе «хакерской» утилиты Mimikatz.
Примечание: При этом следует обращать внимание на код входа (Logon Type), который показывает тип подключения (интерактивное, сетевое, с закэшированными учетными данными, с предоставлением учетных данных в открытом виде и т.д.). Целесообразно также обращать внимание на код ошибки (Status/SubStatus), который также сохраняется в событии аудита и характеризует причину неуспешного входа — несуществующее имя учетной записи, недействительный пароль, попытка входа с заблокированной учетной записью и т.д.
Аудит других событий входа и выхода	Успех, Отказ	4778	RDP-подключение было установлено.
4779	RDP-подключение было разорвано.
Аудит специального входа	Успех	4672	При входе с административными полномочиями.
Доступ к объектам	Аудит сведений об общем файловом ресурсе	Успех, Отказ	5145	При доступе к системных сетевым ресурсам, таким как \\C$\ . Данное событие будет создаваться при работе ransomware, нацеленного на горизонтальное перемещение по сети.
Аудит других событий доступа к объектам	Успех, Отказ	4698	При создании задания в «Планировщике задач», что часто используется злоумышленниками как метод закрепления и скрытия активности в атакованной системе.
Изменение политики	Аудит изменения политики аудита	Успех	4719	Изменение политики аудита.
4906	Изменение настройки CrashOnAuditFail.
Примечание: Изменить реакцию ОС на невозможность вести журнал аудита безопасности (настройка CrashOnAuditFail) можно в каталоге «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» в политике «Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности».
Система	Аудит расширения системы безопасности	Успех	4610 4614 4622	При появлении в системе новых пакетов аутентификации, что не должно происходить несанкционированно.
4697	При создании нового сервиса, что часто используется злоумышленниками как метод закрепления и скрытия активности в атакованной системе.

Кроме описанных выше настроек, имеет смысл также контролировать появление в журнале безопасности события с EventID=1102, которое формируется сразу после очистки журнала безопасности, что может говорить о вредоносной активности. Более того, разумно будет включить в каталоге «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» политику «Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам» в значение «Аудит всего». После этого EventID=8001 в журнале Microsoft-Windows-NTLM/Operational будет содержать информацию об автоматической аутентификации на веб-ресурсах с учетной записью пользователя. Следующим шагом станет allow list с перечнем веб-ресурсов, которые легитимно могут запрашивать учетные записи, а указанную политику можно будет перевести в режим блокировки. Это не позволит вредоносным ресурсам получать NTLM-хэши пользователей, которые кликнули на ссылку из фишингового письма.

Обратим внимание и на то, что подсистема журналирования Windows весьма гибка и позволяет настроить аудит произвольных папок и веток реестра — следует лишь выбрать критичные для ИТ-инфраструктуры объекты аудита и включить данные опции.

Настройка Windows Event Forwarding, интеграция с IBM QRadar

Настроив необходимые параметры аудита, перейдем к решению вопроса автоматизации сбора журналов аудита и их централизованного хранения и анализа. Штатный механизм Windows Event Forwarding, который работает из коробки с Microsoft Windows Server 2008 / Vista и старше, позволяет осуществлять централизованный сбор журналов аудита на устройстве-коллекторе (не ниже Windows Server 2008 и Vista, но все же рекомендуется использовать выделенный Windows Server 2012R2 и старше) с устройств-источников с применением функционала WinRM (Windows Remote Management, использует протокол WS-Management) и использованием т.н. «подписок» на определенные события (набор XPath-выражений, о которых мы поговорим далее, для выбора интересующих журналов и событий на источнике). События с удаленных устройств могут быть как запрошены коллектором (режим Pull/Collector initiated), так и отправлены самим источником (режим Push/Source computer initiated). Мы рекомендуем использовать последний режим, поскольку в режиме Push служба WinRM слушает входящие соединения только на коллекторе, а на клиентах-источниках WinRM не находится в режиме прослушивания и лишь периодически обращается к коллектору за инструкциями, что уменьшает поверхность потенциальной атаки на конечные устройства. По умолчанию для шифрования трафика от источников к коллектору, принадлежащих одному Windows-домену, используется Керберос-шифрование SOAP-данных, передаваемых через WinRM (режим HTTP-Kerberos-session-encrypted), при этом HTTP-заголовки и соответствующие метаданные передаются в открытом виде. Другой опцией является использование HTTPS с установкой SSL-сертификатов на приемнике и источнике, при этом они могут не принадлежать одному домену. При дальнейшем изложении будем считать, что мы работаем в одном домене и используем настройку по умолчанию.

Рассмотрев концепцию пересылки логов с Windows-устройств, перейдем непосредственно к настройке нашей связки: источник событий -> сервер-коллектор -> утилита IBM WinCollect -> SIEM-система IBM QRadar.

Для включения сервиса сбора логов следует выполнить нижеописанные шаги:

1. На сервере-коллекторе выполнить команду winrm qc, ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников). Следует учесть, что выполнение команды winrm qc одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS. Отключить WinRS можно либо через политику «Конфигурация компьютера / Административные шаблоны / Компоненты Windows / Удаленная оболочка Windows / Разрешить доступ к удаленной оболочке -> Запретить» (Computer Configuration / Administrative Templates / Windows Components / Windows Remote Shell / Allow Remote Shell Access -> Disabled), либо командой winrm set winrm/config/winrs @{AllowRemoteShellAccess=»false»}

2. На сервере-коллекторе выполнить команду wecutil qc, согласиться на включение службы «Сборщик событий Windows» (Windows Event Collector). При этом в Windows Firewall создается разрешающее правило для входящих соединений на коллектор по TCP:5985.

3. На источниках событий следует включить службу WinRM: установить «Тип запуска» в значение «Автостарт» и запустить «Службу удаленного управления Windows» (Windows Remote Management (WS-Management)).

4. Проверить состояние службы WinRM на сервере-колекторе можно командой winrm enumerate winrm/config/listener, в результате выполнения которой отобразятся настройки порта и список локальных IP-адресов, на которых прослушиваются соединения по TCP:5985. Команда winrm get winrm/config покажет подробные настройки службы WinRM. Переконфигурировать настройки можно либо непосредственно через утилиту winrm, либо через групповые политики по пути «Конфигурация компьютера / Административные шаблоны / Компоненты Windows / Удаленное управление Windows» (Computer Configuration / Administrative Templates / Windows Components / Windows Remote Management).

5. На источниках событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи NT AUTHORITY\NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN\Event Log Readers («Читатели журнала событий»). После этого необходимо перезапустить «Службу удаленного управления Windows» (WinRM) и службу «Журнал событий Windows» (EventLog).

6. Затем следует создать и применить конфигурацию групповой политики для источников, в которой будет указана конфигурация и адрес сервера-коллектора. Требуется включить политику «Конфигурация компьютера / Административные шаблоны / Компоненты Windows / Пересылка событий / Настроить адрес сервера…» (Computer Configuration / Administrative Templates / Windows Components / Event Forwarding / Configure the server address…) и указать адрес сервера-коллектора в следующем формате:

Server=http://servername.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

где 60 – частота обращения (в секундах) клиентов к серверу за новыми инструкциями по пересылке журналов. После применения данной настройки на устройствах-источниках следует сделать перезапуск службы WinRM.

7. Далее создаем и применяем конфигурацию подписки на сервере-коллекторе: открываем оснастку управления журналами аудита (eventvwr.msc) и находим внизу раздел «Подписки» (Subscriptions). Нажимаем правой кнопкой мыши и выбираем «Создать подписку», задаем имя подписки. Далее выбираем опцию «Инициировано исходным компьютером» (Source Computer Initiated, это означает предпочтительный режим Push). Нажимаем на кнопку «Выбрать группы компьютеров» (Select Computer Groups), выбираем из Active Directory те устройства или их группы, которые должны будут присылать логи на коллектор. Далее, нажимаем «Выбрать события» (Select Events) и вводим XPath-запрос (пример для сбора журналов Security):

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*</Select>
  </Query>
</QueryList>

8. В итоге, клиенты должны иметь активные сетевые соединения по TCP:5985 с сервером-коллектором. На сервере-коллекторе в eventvwr.msc в свойствах «Подписки» можно будет увидеть список клиентов-источников, а пересланные события будут находиться в разделе «Журналы Windows – Перенаправленные события» (Windows Logs – Forwarded Events) на сервере-коллекторе.

9. Далее решаем задачу пересылки собранных на сервере-коллекторе логов с источников в SIEM систему IBM QRadar. Для этого нам потребуется установить на сервере-коллекторе утилиту IBM WinCollect.

Рекомендуем использовать управляемый (Managed) режим работы WinCollect для упрощения его администрирования. Для того, чтобы отправляемые через WinCollect агрегированные события корректно обрабатывались в IBM QRadar, нам следует воспользоваться рекомендациями IBM и на сервере-коллекторе с установленной утилитой WinCollect перевести формат пересылаемых событий в RenderedText, а также сменить их локаль на EN-US командой wecutil ss SubscriptionName /cf:RenderedText /l:en-US (где SubscriptionName — имя подписки, заданное в п.7 выше). Кроме того, необходимо обеспечить сетевую доступность между сервером-коллектором с установленным WinCollect и нодами IBM QRadar по TCP:8413 и TCP/UDP:514.

10. После установки утилиты WinCollect на сервер-коллектор, в самой SIEM-системе IBM QRadar нужно будет добавить этот сервер в список источников (тип источника Microsoft Security Event Log, в поле Target Destination в выпадающем списке лучше выбрать вариант с TCP-syslog-подключением, отметить check-box Forwarded Events).

После применения указанных настроек новые события и устройства-источники, пересылающие Windows-логи на сервер-коллектор, появятся в консоли IBM QRadar автоматически. В итоге, после внедрения SIEM-системы данные в ней и регистрацию событий информационной безопасности можно будет легко обогатить журналами аудита Windows, собранными описанным способом с различных устройств в инфраструктуре компании.

Утилита Sysmon

Кроме задействования штатного функционала подсистемы журналирования, можно воспользоваться и официальной бесплатной утилитой Sysmon из пакета Microsoft Windows Sysinternals, которая существенно расширяет и дополняет возможности мониторинга ОС. Данная утилита дает возможность проводить аудит создания файлов, ключей реестра, процессов и потоков, а также осуществлять мониторинг загрузки драйверов и библиотек, сетевых подключений, WMI-событий и именованных каналов. Из особо полезных функций отметим возможность утилиты показывать родительский процесс и командную строку процесса, отображать значение хэш-сумм при событиях создания процесса и загрузки драйверов и библиотек с указанием наличия и действительности цифровой подписи. Несложным путем можно автоматизировать сравнение полученных хэш-сумм с индикаторами компрометации (IoCs, Indicator of Compromise) из данных фидов CyberThreat Intelligence, а также использовать приложение QVTI для IBM QRadar, с помощью которого хэши запускаемых файлов автоматически проверяются через сервис VirusTotal. Еще одной приятной опцией является возможность создания XML-конфигураций, в которых можно предельно четко указать объекты контроля и настройки работы Sysmon. Одними из наиболее продвинутых и детальных вариантов XML-конфигураций, с нашей точки зрения, являются конфиги https://github.com/ion-storm/sysmon-config и https://github.com/SwiftOnSecurity/sysmon-config .

Установка Sysmon предельно проста и также может быть легко автоматизирована:

1. Дистрибутив скачивается с https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Все исполняемые файлы подписаны.

2. Создается или скачивается по приведенным выше ссылкам xml-файл с конфигурацией Sysmon.

3. Установка sysmon для x64 производится командой:

C:\folder\sysmon64.exe -accepteula -i C:\folder\sysmonconfig-export.xml , где sysmonconfig-export.xml – файл конфигурации, sysmon64.exe – файл-установщик.

Поддерживается запуск установки из сетевой папки.

4. После установки создается журнал Microsoft-Windows-Sysmon/Operational , размер которого мы сразу рекомендуем увеличить как минимум до 100 Мб.

Перезапуск устройства не требуется, Sysmon работает в виде сервиса, его исполняемый файл находится в C:\Windows\sysmon64.exe . По нашим подсчетам, footprint на конечной системе даже при использовании максимально детального конфига Sysmon не превышает 5-10% ЦПУ и около 100 Мб ОЗУ.

XPath-запросы

Наконец, выполнив необходимые настройки файлов журналов Windows, перейдем непосредственно к поиску интересующей информации. Заметим, что в случае включения всех рекомендованных политик аудита ИБ сами журналы событий становятся достаточно объемными, поэтому поиск по их содержимому может быть медленным (этих недостатков лишены специализированные решения, предназначенные в том числе для быстрого поиска информации — Log Management и SIEM-системы). Отметим также, что по умолчанию не все журналы Windows отображаются к графической оснастке (eventvwr.msc), поэтому в данной оснастке следует перейти в меню «Вид» и отметить check-box «Отобразить аналитический и отладочный журналы».

Итак, поиск по журналам аудита будем осуществлять с помощью встроенного редактора запросов XPath (XPath queries). Открыв интересующий нас журнал, например, журнал безопасности Windows (вкладка «Журналы Windows» -> «Безопасность» / Security), нажатием правой кнопки мыши на имени журнала выберем пункт «Фильтр текущего журнала». Нам откроется графический редактор поисковых запросов, при этом для наиболее продуктивной работы следует открыть вторую вкладку открывшегося окна с названием XML, отметив внизу check-box «Изменить запрос вручную». Нам будет предложено изменить XML-текст (по сути, XPath запрос) в соответствии с нашими критериями поиска.

Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку «Подробности», а там выбрать radio-button «Режим XML», в котором в формате «ключ-значение» будут представлены данные события безопасности.

Приведем несколько полезных XPath запросов с комментариями.

1. Поиск по имени учетной записи в журнале Security — возьмем для примера имя Username:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='TargetUserName']='Username']]
</Select>
</Query>
</QueryList>

2. Поиск по значению конкретного свойства события в журнале Sysmon — возьмем для примера поиск событий, в которых фигурировал целевой порт 443:

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
    <Select Path="Microsoft-Windows-Sysmon/Operational">*[EventData[Data[@Name='DestinationPort'] = '443']]</Select>
  </Query>
</QueryList>

3. Произведем поиск сразу по двум условиям — возьмем для примера событие входа с EventID=4624 и имя пользователя Username:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[System[(EventID=4624)]] 
and 
*[EventData[Data[@Name='TargetUserName']='Username']]
</Select>
  </Query>
</QueryList>

4. Поиск по трем условиям — дополнительно укажем Logon Type = 2, что соответствует интерактивному входу в ОС:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[System[(EventID=4624)]] 
and 
*[EventData[Data[@Name='TargetUserName']='Username']] 
and
*[EventData[Data[@Name='LogonType']='2']]
</Select>
  </Query>
</QueryList>

5. Рассмотрим функционал исключения из выборки данных по определенным критериям — это осуществляется указанием оператора Suppress с условиями исключения. В данном примере мы исключим из результатов поиска по фактам успешного входа (EventID=4624) все события, которые имеют отношения к системным учетным записям (SID S-1-5-18/19/20) с нерелевантным для нас типам входа (Logon Type = 4/5), а также применим функционал задания условий поиска с логическим оператором «ИЛИ», указав не интересующие нас имя процесса входа (Advapi) и методы аутентификации (Negotiate и NTLM):

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624)]]</Select>
<Suppress Path="Security">*[EventData[(Data[@Name='TargetUserSid'] and (Data='S-1-5-18' or Data='S-1-5-19' or Data='S-1-5-20') and Data[@Name='LogonType'] and (Data='4' or Data='5'))]]
or
*[EventData[(Data[@Name='LogonProcessName'] and (Data='Advapi') and Data[@Name='AuthenticationPackageName'] and (Data='Negotiate' or Data='NTLM'))]]
</Suppress>
  </Query>
</QueryList>

IRP-система штатными средствами Windows

Как мы увидели, встроенный функционал подсистемы журналирования Windows позволяет весьма гибко осуществлять поиск по зафиксированным событиям аудита ИБ, комбинируя различные условия поиска. Однако, у Windows есть еще одна интересная «фишка», которая позволяет использовать сформированные описанным выше образом правила поиска событий — мы говорим про создание задач с определенным триггером в «Планировщике заданий» Windows, что также является штатным функционалом ОС.

Как мы знаем, задачи в ОС Windows могут выполнять совершенно разные функции, от запуска диагностических и системных утилит до обновления компонент прикладного ПО. В задаче можно не только указать исполняемый файл, который будет запущен при наступлении определенных условий и триггеров, но и задать пользовательский PowerShell/VBS/Batch-скрипт, который также будет передан на обработку. В контексте применения подсистемы журналирования интерес для нас представляет функционал гибкой настройки триггеров выполнения задач. Открыв «Планировщик заданий» (taskschd.msc), мы можем создать новую задачу, в свойствах которой на вкладке «Триггеры» мы увидим возможность создать свой триггер. При нажатии на кнопку «Создать» откроется новое окно, в котором в drop-down списке следует выбрать вариант «При событии», а в открывшейся форме отображения установить radio-button «Настраиваемое». После этих действий появится кнопка «Создать фильтр события», нажав на которую, мы увидим знакомое меню фильтрации событий, на вкладке XML в котором мы сможем задать произвольное поисковое условие в синтаксисе XPath-запроса.

Например, если мы хотим выполнять некоторую команду или скрипт при каждом интерактивном входе в систему пользователя Username, мы можем задать в качестве триггера задачи следующее поисковое выражение, уже знакомое нам по примеру выше:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
*[System[(EventID=4624)]] 
and 
*[EventData[Data[@Name='TargetUserName']='Username']] 
and 
*[EventData[Data[@Name='LogonType']='2']]
</Select>
  </Query>
</QueryList>

Другой пример: оповещение администратора при подозрительном обращении к системному процессу lsass.exe, который хранит в своей памяти NTLM-хэши и Керберос-билеты пользователей Windows, что может говорить об использовании утилиты Mimikatz или аналогичных ей:

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
    <Select Path="Microsoft-Windows-Sysmon/Operational">
*[System[(EventID=10)]] 
and 
*[EventData[Data[@Name='TargetImage']='C:\Windows\System32\lsass.exe']] 
and 
*[EventData[(Data[@Name='GrantedAccess'] and (Data='0x1010' or Data='0x1038'))]]
</Select>
  </Query>
</QueryList>

Таким образом, при условии работоспособности системы журналирования событий Windows можно не только детально и глубоко анализировать все произошедшее на устройстве, но и выполнять произвольные действия при появлении в журнале ОС событий, отвечающих условиям XPath-запроса, что позволяет выстроить целостную систему аудита ИБ и мониторинга событий безопасности штатными средствами ОС. Кроме того, объединив рекомендованные политики аудита информационной безопасности, утилиту Sysmon с детально проработанными конфигами, запрос данных из TI-фидов, функционал XPath-запросов, пересылку и централизацию событий с помощью Windows Event Forwarding, а также настраиваемые задачи с гибкими условиями выполнения скриптов, можно получить фактически бесплатную (по цене лицензии на ОС) систему защиты конечных точек и реагирования на киберинциденты, используя лишь штатный функционал Windows.

Источник

В этой статье мы покажем, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы постоянно блокируется учетная запись. Для поиска источника блокировки аккаунтов пользователей можно использовать журнал безопасности Windows, скрипты PowerShell или утилиту Account Lockout and Management Tools (Lockoutstatus.exe).

Содержание:

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть
Как проверить, что аккаунт пользователя AD заблокирован?
Политики блокировки учетных записей в домене
События блокировки пользователей EventID 4740, 4625
Поиск компьютера, с которого блокируется пользователь с помощью PowerShell
Утилита Microsoft Account Lockout and Management Tools
Как определить программу, из которой блокируется учетная запись пользователя?

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть

Политика безопасности учетных записей в большинстве организаций требует обязательного блокирования учетной записи пользователя в домене Active Directory, если он несколько раз подряд ввел неправильный пароль. Обычно учетная запись блокируется контроллером домена на несколько минут (5-30), в течении которых вход пользователя в домен невозможен. Через определенное время (задается в политике безопасности домена), учетная запись пользователя автоматически разблокируется. Временная блокировка учетной записи позволяет снизить риск подбора пароля (простым брутфорсом) к учетным записям пользователей AD.

Если учётная запись пользователя в домене заблокирована, то при попытке входа в Windows появляется предупреждение:

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть.

The referenced account is currently locked out and may not be logged on to ….

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть

Как проверить, что аккаунт пользователя AD заблокирован?

Вы можете проверить, что аккаунт заблокирован в графический консоли ADUC или с помощью комнадлета Get-ADUser из модуля Active Directory для PowerShell:

Get-ADUser -Identity aaivanov -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

Или:

Get-ADUser avivanov2 -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,logonCount,pwdLastSet | Select-Object Name, Lockedout, @{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}}, @{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}, @{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}},logonCount

Учетная запись сейчас заблокирована и не может быть использована для авторизации в домене (Lockedout = True). Также в выводе команды вы видите информацию о времени смены пароля пользователя в домене и времени блокировки аккаунта.

Можно вывести сразу все заблокированные аккаунты в домене с помощью командлета Search-ADAccount:

Search-ADAccount -UsersOnly -lockedout

Вы можете вручную снять блокировку учетной записи с помощью консоли ADUC, не дожидаясь автоматической разблокировки. Для этого в свойствах учетной записи пользователя на вкладке Account, включите опцию Unlock account. This account is currently locked out on this Active Directory Domain Controller (Разблокируйте учетную запись. Учетная запись на этом контроллере домена Active Directory на данный момент заблокирована) и сохраните изменения.

aduc разблокировать пользователя Active Directory

Также можно немедленно разблокировать учетную запись с помощью командлета PowerShell Unlock-ADAccount:

Get-ADUser -Identity aaivanov | Unlock-ADAccount

Информацию о времени блокировки учетной записи, количестве неудачных попыток набора пароля, времени последнего входа пользователя в домен можно получить в свойствах учетной записи в консоли ADUC на вкладке редактора атрибутов или с помощью PowerShell

Get-ADUser aaivanov -Properties Name, lastLogonTimestamp,lockoutTime,logonCount,pwdLastSet | Select-Object Name,@{n='LastLogon'; e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}}, @{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}, @{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}},logonCount

powershell узнать время блокировки пользователя

Политики блокировки учетных записей в домене

Политики блокировки учетных записей и паролей обычно задаются сразу для всего домена политикой Default Domain Policy в консоли gpmc.msc. Интересующие нас политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy (Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей). Это политики:

Account lockout threshold (Пороговое значение блокировки) – через сколько неудачных попыток набора пароля учетная запись должна быть заблокирована;
Account lockout duration (Продолжительность блокировки учетной записи) – на какое время будет заблокирована учетная запись (по истечении этого времени блокировка будет снята автоматически);
Reset account lockout counter after (Время до сброса счетчика блокировки) – через какое время будет сброшен счетчик неудачных попыток авторизации.

Для защиты от перебора паролей рекомендуется использовать стойкие пароли пользователей в AD (использовать длину пароля не менее 8 символов и включить требования сложности. Это настраивается в разделе Password Policy в политиках Password must meet complexity requirements и Minimum password length. Периодически нужно выполнять аудит паролей пользователей.

Ситуации, когда пользователь забыл свой пароль и сам вызвал блокировку своей учетки случаются довольно часто. Но в некоторых случаях блокировка учеток происходит неожиданно, без каких-либо видимых причин. Т.е. пользоваться “клянется”, что ничего особого не делал, ни разу не ошибался при вводе пароля, но его учетная запись почему-то заблокировалась. Администратор по просьбе пользователя может вручную снять блокировку, но через некоторое время ситуация повторяется.

Чтобы решить проблему самопроизвольной блокировки учетной записи пользователя, администратору нужно разобраться с какого компьютера и какой программой была заблокирован аккаунт пользователя Active Directory.

События блокировки пользователей EventID 4740, 4625

В первую очередь администратору нужно разобраться с какого компьютера/сервера домена происходят попытки ввода неверных паролей и идет дальнейшая блокировка учетной записи.
Чтобы в журналах контроллеров домена записывались события блокировки учетных записей, нужно включить следующие подкатегории аудита на контроллерах домена в секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy -> Logon/Logoff:

Audit Account Lockout
Audit Logon
Audit Logoff

Затем перейдите в раздел Account Management и включите политику:

Audit User Account Management: Success

Проще всего включить эти параметры GPO через консоль
gpmc.msc
, отредактировав политику Default Domain Controller Policy.

политика аудита событий блокировки на контроллерах домена Audit Account Lockout

Если пользователь ввел неверный пароль, то ближайший к пользователю контроллер домена перенаправляет запрос аутентификации на DC с FSMO ролью эмулятора PDC (именно он отвечает за обработку блокировок учетных записей). Если проверка подлинности не выполнилась и на PDC, он отвечает первому DC о невозможности аутентификации. Если количество неуспешных аутентификаций превысило значение, заданное для домена в политике Account lockout threshold, учетная запись пользователя временно блокируется.

При этом в журнале обоих контроллеров домена фиксируются событие с EventID 4740 с указанием DNS имени (IP адреса) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Чтобы не анализировать журналы на всех DC, проще всего искать это события в журнале безопасности на PDC контроллере. Найти PDC в домене можно так:

(Get-AdDomain).PDCEmulator

Событие блокировки учетной записи домена можно найти в журнале Security (Event Viewer > Windows Logs) на контролере домена. Отфильтруйте журнал безопасности (Filter Current Log) по событию с Event ID 4740. Должен появиться список последних событий блокировок учетных записей контроллером домена. Переберите все события, начиная с самого верхнего и найдите событие, в котором указано, что учетная запись нужного пользователя (имя учетной записи указано в строке Account Name) заблокирована (A user account was locked out).

Примечание. В большой инфраструктуре AD, в журнале безопасности фиксируется большое количество событий, которые постепенно перезаписываются более новыми. Поэтому желательно увеличить максимальный размер журнала на DC и приступать к поиску источника блокировки как можно раньше.

Событие блокировки учетной записи на контроллере домена AD. eventid 4740

Откройте данное событие. Имя компьютера (или сервера), с которого была произведена блокировка указано в поле Caller Computer Name. В данном случае имя компьютера – WKS-TEST1.

Если в поле Computer Name указано неизвестное имя компьютера/устройства, который не резолвится в вашей сети через DNS (недоменный компьютер, или не Windows устройство с поддержкой Kerberos аутентфикации), вы можете получить IP адрес этого устройства. Для этого нужно включить следующие параметры аудита в Default Domain Controller Policy. Перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration и настройте следующие параметры:

Account Logon

Audit Kerberos Authentication Service: Success, Failure
Audit Kerberos Service Ticket Operations: Success, Failure

Logon/Logoff

Audit Special Logon: Success, Failure

Откройте журнал Event Viewer -> Security и включите фильтр по Event ID 4740 и 4741. Обратите внимание, что теперь перед появлением события блокировки пользователя (4740) появляется событие 4771 (неуспешная kerberos аутентфикация) от Kerberos Authentication Service. В нем указано имя пользователя, который пытался выполнить аутентификацию и IP адрес устройства (поле Network Information -> Client Address), с которого пришел запрос.

4711 ip адрес устройтва-источника блокировки пользователя через kerberos аутентфикацию

Если удаленное устройство использует NTLM для аутентификации в домене, нужно выполнить поиск события EventID 4625 (неуспешная NTLM аутентификация) на контроллерах домена (оно появится только на DC, через который была выполнена попытка аутентифицироваться через NTLM).

Откройте последнее найденное событие с EventID 4625 для вашего пользователя (Account name). Здесь видно, что при попытке выполнить NTLM аутентификацию (Authentication Package: NTLM, Logon Process: NtLmSsp) учетная запись была заблокирована (
Failure Reason: Account locked out, Status: 0xC0000234
). В описании события указаны как имя компьютера (Workstation Name), так и его IP адрес (Source Network Address).

4625 IP адрес устройства, с которого выполняется блокировка пользователя при использовании NTLM аутентфикации

Если вы не можете найти событие блокировки пользователя в журнале Event Viewer, можно включить расширенный лог netlogon на контроллере домена. Выполните команду:

nltest /dbflag:2080ffffff

Перезапустите службу Netlogon

net stop netlogon && net start netlogon

Выполните поиск в файле netlogon.log событий:

0xc000006a – An invalid attempt to login has been made by the following user
0xc0000234 – The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested.

Можно найти события блокировки пользователя a.berg в файле netlogon.log с помощью команды:

type C:\Windows\debug\netlogon.log | findstr a.berg| findstr /i "0xC000006A"

$поиск источника блокировки пользователя в логе debug\netlogon.log$

В данном примере видно, что пользователь a.berg блокируется с устройства DESKTOP-74G6LB.

Не забудьте отключить расширенный лог на DC:

nltest /dbflag:0x0

Поиск компьютера, с которого блокируется пользователь с помощью PowerShell

Можно воспользоваться следующим PowerShell скриптом для поиска источника блокировки конкретного пользователя на PDC. Данный скрипт вернет дату блокировки и компьютер, с которого она произошла. Скрипт выполняет поиск событий с Event ID в Event Log:

$Username = 'username1' $Pdce = (Get-AdDomain).PDCEmulator $GweParams = @{ ‘Computername’ = $Pdce ‘LogName’ = ‘Security’ ‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]" } $Events = Get-WinEvent @GweParams $Events | foreach {$_.Properties[1].value + ' ' + $_.TimeCreated}

powershell скрипт ждя поиска источника блокировки пользователя по событию 4740

Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:

$Username = 'username1' Get-ADDomainController -fi * | select -exp hostname | % { $GweParams = @{ ‘Computername’ = $_ ‘LogName’ = ‘Security’ ‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]" } $Events = Get-WinEvent @GweParams $Events | foreach {$_.Computer + " " +$_.Properties[1].value + ' ' + $_.TimeCreated} }

Утилита Microsoft Account Lockout and Management Tools

Для поиска источника блокировки пользователя можно использовать графическую утилиту Microsoft Account Lockout and Management Tools —
Lockoutstatus.exe
(скачать ее можно тут). Данная утилита проверяет статус блокировки учетной записи на всех контроллерах домена.

Запустите утилиту Lockoutstatus.exe, укажите имя заблокированной учетной записи (Target User Name) и имя домена (Target Domain Name).

УтилитаMicrosoft Account Lockout and Management Tools

В появившемся списке будет содержаться список DC и состояние учетной записи (Locked или Non Locked). Дополнительно отображается время блокировки и компьютер, с которого заблокирована данная учетная запись (Orig Lock).

статус блокировки пользователя на всех контроллераз домена

Атрибуты badPwdCount и LastBadPasswordAttempt не реплицируются между контролерами домена.

Прямо из утилиты Lockoutstatus можно разблокировать пользователя, или сменить его пароль.

Lockoutstatus разблокировать пользователя

Основной недостаток утилиты LockoutStatus – она довольно долго опрашивает все контроллеры домена (некоторые из них могут быть недоступны).

Как определить программу, из которой блокируется учетная запись пользователя?

Итак, мы определили с какого компьютера или устройства была заблокирована учетная запись. Теперь нужно понять, какая программа или процесс выполняет неудачные попытки входа и является источником блокировки.

Часто пользователи начинают жаловаться на блокировку своей учетной записи в домене после плановой смены пароля. Чаще всего это значит, что старый (неверный) пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем. Рассмотрим самые распространенные места, в которых пользователь мог сохранить свой старый пароль:

Сетевые диски, подключенные через
net use
(Map Drive);
Задания планировщика Windows Task Scheduler;
Ярлыки с настроенным режимом
RunAs
(используется для запуска от имени другого пользователя);
В службах Windows, которые настроены на запуск из-под доменной учетной записи;
Сохранённые пароли в менеджере паролей в панели управления (Credential Manager). Выполните команду
rundll32.exe keymgr.dll, KRShowKeyMgr
и удалите сохраненные пароли;

Пароли пользователей могут быть сохранены в контексте SYSTEM. Чтобы вывести их, нужно запустить командную строку от имени SYSTEM с помощью
psexec -i -s -d cmd.exe
и выполнить команду
rundll32 keymgr.dll,KRShowKeyMgr
чтобы открыть список сохраненных паролей для NT AUTHORITY\SYSTEM.
Программы, которые хранят и используют закэшировнный пароль пользователя;
Браузеры;
Мобильные устройства (например, использующееся для доступа к корпоративной почте);
Программы с автологином или настроенный автоматический вход в Windows;
Незавершенные сессии пользователя на других компьютерах или терминальных RDS фермах или RDP серверах (поэтому желательно настраивать лимиты для RDP сессий);
Сохраненные пароли для подключения к Wi-FI сетям (WPA2-Enterprise 802.1x аутентификацию в беспроводной сети);
Если пользователь недавно сменил пароль и забыл его, вы можете сбросить его.

Совет. Существует ряд сторонних утилит (в основном коммерческих) позволяющих администратору выполнить проверку удаленной машины и детектировать источник блокировки учетных записей. В качестве довольно популярного решения отметим Account Lockout Examiner от Netwrix.

Для более детального аудита блокировок на найденном компьютере необходимо включить ряд локальных политик аудита Windows. Для этого на компьютере, на котором нужно отследить источник блокировки, откройте редактор локальной групповой политики gpedit.msc и включите следующие параметры в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:

Audit process tracking: Success , Failure
Audit logon events: Success , Failure

Затем обновите настройки групповых политик на клиенте:

gpupdate /force

Дождитесь очередной блокировки учетной записи и найдите в журнале безопасности (Security) события с Event ID 4625. В нашем случае это событие выглядит так:

An account failed to log on.
Failure Reason: Account locked out.

Выявлем процесс/программу из которой была залокирована учетная запись

Из описания события видно, что источник блокировки учетной записи (Caller Process Name) – процесс mssdmn.exe (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.

После окончания анализа, выявления и наказания виновника не забудьте отключить действие включенных групповых политик аудита.

Если вы так и не смогли найти причину блокировки учетной записи на конкретном компьютере, попробуйте просто переименовать имя учетной записи пользователя в Active Directory (измените SAMaccountName и UPN пользователя в домене AD). Это как правило самый действенный метод защиты от внезапных блокировок определенного пользователя, если вы не смогли установить источник блокировки.

Источник

Readers help support Windows Report. We may get a commission if you buy through our links.

Read our disclosure page to find out how can you help Windows Report sustain the editorial team. Read more

If you have several user accounts on the computer and want to monitor their login activity or believe someone is trying to gain access, the Windows Audit Failure comes to the rescue.

Though remember that every login attempt is not necessarily from an end user but could be due to the services running on the computer.

What is Windows Audit Failure?

Audit Failures are generated when a logon request does not go through and are stored in the Event Viewer for quick access. They serve a vital security purpose and allow users to identify login attempts.

You are likely to find several Logon types, each denoting a specific case. Here are the most important ones:

Logon Type 2 – Local user logged in
Logon Type 5 – Login by a service

Now that you have a basic understanding of the concept, let’s head to how to track Windows Audit Failure using the built-in methods and with a reliable third-party tool.

How do I track Windows Audit Failure?

1. With the Event Viewer

Press Windows + S to open the Search menu, type Event Viewer, and click on the relevant search result.

Картинка с сайта: windowsreport.com
Expand Windows Logs and double-click on Security under it.

Картинка с сайта: windowsreport.com
You will now find the login attempts listed on the right. Double-click on any to open its properties.

Картинка с сайта: windowsreport.com
Verify the information here and identify whether the login attempt was from an end user or a service.

Картинка с сайта: windowsreport.com

That’s it! The Event Viewer is one of the handy tools that allow users to view logs of almost every critical activity on the computer, including Windows Audit Failure.

2. Use a dedicated solution

Download and install ManageEngine ADAudit Plus.
Configure your network and endpoints.
Run ADAudit Plus.
Click the Reports tab, then select the Active Directory and choose Workstation Logon Activity.

Картинка с сайта: windowsreport.com
Now, select the workstation you want to interrogate, and you will see all the login attempts with the Audit Failure attempts.

Картинка с сайта: windowsreport.com
You may also switch to Local Logon Failures to see all the failed login attempts on each account on the workstation.

Картинка с сайта: windowsreport.com

Those looking for an Active Directory tool with a host of other features should go with ADAudit Plus, one of the most effective software for the job.

It offers real-time auditing for Active Directory, Windows Server, File Servers, Workstations, and Azure AD Tenants. The software offers a fully-functional free 30-day trial to users before purchasing the subscription.

Besides this, here are a few notable features of ADAudit Plus:

Data archiving
User behavior analytics
Performs comprehensive search

ADAudit Plus

Check any logon activity and failed audit attempts with a dedicated tool for your network.

Get a password self-service tool

Tip

Another reliable tool that comes in handy when it comes to monitoring Windows Audit Failure is ADSelfService Plus. Used by top firms across the globe, the software has managed to capture a large market share.

It offers password self-service, wherein users can manually manage passwords, reset them, and unlock several accounts. Besides, there’s 2-FA (Two Factor Authentication) and MFA (Multi-factor Authentication).

Other notable features in ADSelfService Plus include:

Easy and flexible access
Send real-time alerts
Eliminates the need to reset passwords through tickets

ADSelfService Plus

Manage passwords, reset them, and unlock accounts on all the endpoints on your network!

That’s it! These are all the ways you can monitor Windows Audit Failure, view the logon requests, and identify whether it’s from a user or a service.

Read more about this topic

Plugin-container.exe: What is it & Should I Remove it?
Conhost.exe: What is it & how to Fix Its High CPU Usage
HydraDM.exe: What is It & Should I Remove It?

If you have a personal computer that doesn’t require high security, find out how to disable the login password and access Windows quickly.

If you have any other queries or want us to cover similar topics, drop a comment below.

Kazim Ali Alvi

Windows Hardware Expert

Kazim has always been fond of technology, be it scrolling through the settings on his iPhone, Android device, or Windows PC. He’s specialized in hardware devices, always ready to remove a screw or two to find out the real cause of a problem.

Long-time Windows user, Kazim is ready to provide a solution for your every software & hardware error on Windows 11, Windows 10 and any previous iteration. He’s also one of our experts in Networking & Security.

Источник

Windows 10: Audit Failure reports in Event Viewer

Discus and support Audit Failure reports in Event Viewer in Windows 10 Performance & Maintenance to solve the problem; Since the PC upgraded to Windows 10 version 1803 build 17134.191, the event log on start up repeatedly gives the three different audit failures below….
Discussion in ‘Windows 10 Performance & Maintenance’ started by parsonm, Aug 21, 2018.

Audit Failure reports in Event Viewer

Since the PC upgraded to Windows 10 version 1803 build 17134.191, the event log on start up repeatedly gives the three different audit failures below. I have managed to clear all the other problems the event log has displayed but with these three I am at a lost as to the cause and what areas to check along with any actions to take. Hopefully, someone can point me in the right direction.

Log Name: Security

Source: Microsoft-Windows-Security-Auditing

Date: 21/08/2018 08:08:32

Event ID: 5061

Task Category: System Integrity
Level: Information

Keywords: Audit Failure

User: N/A
Computer: Home-PC

Description:
Cryptographic operation.

Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE

Account Domain: NT AUTHORITY

Logon ID: 0x3E5

Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider

Algorithm Name: UNKNOWN

Key Name: Microsoft Connected Devices Platform device certificate

Key Type: User key.

Cryptographic Operation:
Operation: Open Key.
Return Code: 0x80090016
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{54849625-5478-4994-A5BA-3E3B0328C30D}» />
<EventID>5061</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12290</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime=»2018-08-21T07:08:32.104481600Z» />
<EventRecordID>6985</EventRecordID>
<Correlation />
<Execution ProcessID=»744″ ThreadID=»852″ />
<Channel>Security</Channel>
<Computer>Home-PC</Computer>
<Security />
</System>
<EventData>
<Data Name=»SubjectUserSid»>S-1-5-19</Data>
<Data Name=»SubjectUserName»>LOCAL SERVICE</Data>
<Data Name=»SubjectDomainName»>NT AUTHORITY</Data>
<Data Name=»SubjectLogonId»>0x3e5</Data>
<Data Name=»ProviderName»>Microsoft Software Key Storage Provider</Data>
<Data Name=»AlgorithmName»>UNKNOWN</Data>
<Data Name=»KeyName»>Microsoft Connected Devices Platform device certificate</Data>
<Data Name=»KeyType»>%%2500</Data>
<Data Name=»Operation»>%%2480</Data>
<Data Name=»ReturnCode»>0x80090016</Data>
</EventData>
</Event>

Log Name: Security

Source: Microsoft-Windows-Security-Auditing

Date: 21/08/2018 08:08:40

Event ID: 5061

Task Category: System Integrity
Level: Information

Keywords: Audit Failure

User: N/A
Computer: Home-PC

Description:
Cryptographic operation.

Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE

Account Domain: NT AUTHORITY

Logon ID: 0x3E5

Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: UNKNOWN

Key Name: f00cadd0bda1ded4

Key Type: User key.

Cryptographic Operation:
Operation: Open Key.
Return Code: 0x80090016
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{54849625-5478-4994-A5BA-3E3B0328C30D}» />
<EventID>5061</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12290</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime=»2018-08-21T07:08:40.159642400Z» />
<EventRecordID>7015</EventRecordID>
<Correlation />
<Execution ProcessID=»744″ ThreadID=»856″ />
<Channel>Security</Channel>
<Computer>Home-PC</Computer>
<Security />
</System>
<EventData>
<Data Name=»SubjectUserSid»>S-1-5-19</Data>
<Data Name=»SubjectUserName»>LOCAL SERVICE</Data>
<Data Name=»SubjectDomainName»>NT AUTHORITY</Data>
<Data Name=»SubjectLogonId»>0x3e5</Data>
<Data Name=»ProviderName»>Microsoft Software Key Storage Provider</Data>
<Data Name=»AlgorithmName»>UNKNOWN</Data>
<Data Name=»KeyName»>f00cadd0bda1ded4</Data>
<Data Name=»KeyType»>%%2500</Data>
<Data Name=»Operation»>%%2480</Data>
<Data Name=»ReturnCode»>0x80090016</Data>
</EventData>
</Event>

Log Name: Security

Source: Microsoft-Windows-Security-Auditing
Date: 21/08/2018 08:09:40

Event ID: 5061

Task Category: System Integrity
Level: Information

Keywords: Audit Failure

User: N/A
Computer: Home-PC

Description:
Cryptographic operation.

Subject:
Security ID: Home-PC\Malcolm
Account Name: Malcolm

Account Domain: Home-PC

Logon ID: 0x20272

Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: UNKNOWN

Key Name: Microsoft Connected Devices Platform device certificate

Key Type: User key.

Cryptographic Operation:
Operation: Open Key.
Return Code: 0x80090016
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{54849625-5478-4994-A5BA-3E3B0328C30D}» />
<EventID>5061</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12290</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime=»2018-08-21T07:09:40.329788500Z» />
<EventRecordID>7040</EventRecordID>
<Correlation />
<Execution ProcessID=»744″ ThreadID=»804″ />
<Channel>Security</Channel>
<Computer>Home-PC</Computer>
<Security />
</System>
<EventData>
<Data Name=»SubjectUserSid»>S-1-5-21-4023029420-2456169105-2834210191-1002</Data>
<Data Name=»SubjectUserName»>Malcolm</Data>
<Data Name=»SubjectDomainName»>Home-PC</Data>
<Data Name=»SubjectLogonId»>0x20272</Data>
<Data Name=»ProviderName»>Microsoft Software Key Storage Provider</Data>
<Data Name=»AlgorithmName»>UNKNOWN</Data>
<Data Name=»KeyName»>Microsoft Connected Devices Platform device certificate</Data>
<Data Name=»KeyType»>%%2500</Data>
<Data Name=»Operation»>%%2480</Data>
<Data Name=»ReturnCode»>0x80090016</Data>
</EventData>
</Event>
Event viewer error reporting and system audit report

After install of windows 10 event view now show several errors and system audit failures. Have anyone else noted this? As of now Microsoft when I check online they are not showing up yet. I don’t see any problems with anything I do so now I’m not to worried.
Windows 7 had maybe one error a week and no system audit problems.
System Integrity Event 5061 Security Audit Failure

Anyone notice that with the rollup update from August 17, that the Security section of Windows Logs in Event Viewer have now all been renamed to simply «Information» instead of «Audit Failure» or «Audit Success». Ever since upgrading to Win 10, I’ve
been getting a lot of Audit Failures with Event ID 5061, which I presume is either related to one or more of the Nvidia drivers/programs, or is related to some other MS attempt to login to some server somewhere that fails (for reasons I’ve been unable to trace).
MS has been getting a lot of questions on these forums about event 5061, and apparently lots of people were alarmed about the reports of «Audit Failures» for «System Integrity», believing that it meant something was definitely wrong with their systems.

I just noticed the change in language tonight in event viewer. Now everything, and I mean all events listed under Security logs is listed as «Information». Failures still show a «lock» icon, and success shows a «gold key» icon, but the descriptions are
now simply «Information» only. You have to actually look hard to see whether it’s a «failure» or «success».

Likely related, my Win10 system is unstable, and the Nvidia drivers keep crashing and recovering and then eventually crash the system. It does not seem to be at all predictable. I can be playing Solitaire, or looking at maps, or reviewing pictures in the
Bing Photo Archives, or just downloading e-mail. The computer will stay up for a day or two and then whammo. Instability, crashing and a need to continually reboot until things calm down. Oh, and throw in a couple of BSOD’s too, with the message «Your
PC crashed ; (» and a report generating somewhere.

I figured Windows 10 might have some issues and I used a lot of preview builds with better luck than I’m having with a clean install of the final release version (downloaded and installed with an ISO). The machine is an older computer, running an Intel Core2
Quad processor, but it runs both Win 8.1 and Win 7 with no issues at all….I mean flawlessly. Whereas Windows 10, installed on its own partition on a clean install, is just completely unstable, and unfit at all for any production work.
Audit Failure reports in Event Viewer

Security Audit Failure Event 5061 In Windows 10

Hello,

A failure audit event is triggered when a defined action, such as a user logon, is not completed successfully.

The appearance of failure audit events in the event log does not necessarily mean that something is wrong with your system. For example, if you configure Audit Logon events, a failure event may simply mean that a user mistyped his or her password.

Advanced Security Auditing FAQ

Thema:

Audit Failure reports in Event Viewer

Audit Failure reports in Event Viewer — Similar Threads — Audit Failure reports
Lots of completed Audits in Event Viewer

in Windows 10 Gaming

Lots of completed Audits in Event Viewer: Hello, i saw this in Event Viewer, is this normal? Its a lot it looks like but it could be normal but im not sure.

https://answers.microsoft.com/en-us/windows/forum/all/lots-of-completed-audits-in-event-viewer/1c9b5edf-51a7-4199-9a46-c2d9034b3c86
Lots of completed Audits in Event Viewer

in Windows 10 Software and Apps

Lots of completed Audits in Event Viewer: Hello, i saw this in Event Viewer, is this normal? Its a lot it looks like but it could be normal but im not sure.

https://answers.microsoft.com/en-us/windows/forum/all/lots-of-completed-audits-in-event-viewer/1c9b5edf-51a7-4199-9a46-c2d9034b3c86
Event logs Audit Failure tracking

in Windows 10 Gaming

Event logs Audit Failure tracking: Hi guys,Today when i was inspecting security event logs at active directory server i realised we are recieving constant password brute force attacks from different user accounts.Usernames were seeming to be coming from a rainbow table as; Jessie, Jaxon, Clare…so onSource…
Event logs Audit Failure tracking

in Windows 10 Software and Apps

Event logs Audit Failure tracking: Hi guys,Today when i was inspecting security event logs at active directory server i realised we are recieving constant password brute force attacks from different user accounts.Usernames were seeming to be coming from a rainbow table as; Jessie, Jaxon, Clare…so onSource…
Receiving Numerous Audit Failures in Windows Event viewer Security

in Windows 10 BSOD Crashes and Debugging

Receiving Numerous Audit Failures in Windows Event viewer Security: Windows Firewall did not apply the following rule:Rule Information:ID: {89E820CC-9A11-452F-ABD9-A2694F3E1453}Name: Cast to Device functionality qWave-UDP-InError Information:Reason: Remote Addresses resolved to an empty set….
What these audits logs in event viewer?

in AntiVirus, Firewalls and System Security

What these audits logs in event viewer?: My audit logs seems to be all turned off:

[ATTACH]

I would like some explanation on these why am I seeing «logon» events if they are turned off?

[ATTACH]

Can we turn these on / off and how?

PS: I understand turning these off are probably idea, but since I am…
Event Viewer Audit Failures for SeTcbPrivilege

in AntiVirus, Firewalls and System Security

Event Viewer Audit Failures for SeTcbPrivilege: Hello,

We are getting many Security Audit Failures in Event Viewer while livestreaming our church services. We notice it only does this on the Windows 10 Pro box not the Windows 10 Home. «Event 4673 A privileged service was called. Privileges: SeTcbPrivilege. Process Name:…
Unexpected Audit Failure in Event Viewer

in Windows 10 BSOD Crashes and Debugging

Unexpected Audit Failure in Event Viewer: Even with years of experience with Windows operating systems I am in the unenviable position of trying to diagnose an Audit Failure in the Event Viewer for Windows 10 on my Toshiba laptop that just reared its ugly head recently.

It is perhaps noteworthy that I am not seeing…
Event Viewer — Audit Failure 5061

in Windows 10 Performance & Maintenance

Event Viewer — Audit Failure 5061: I continue to get this event in the Event Log under Audit Failure. I never had in Windows 8.1 and it started after upgrading to 10.

Does anyone have a clue about it?

Cryptographic operation.

Subject:
Security ID: SYSTEM
Account Name: xxxx
Account Domain: xxxx…

Users found this page by searching for:

cryptographic operation in my event viewer

,
windows event viewer audit failure

,
audit failure in event viewer

Источник

Audit Policy Categories

Event ID 4771 for Kerberos pre-authentication failed

Event ID 4625 for An account failed to log on

Use the Advanced Audit Policy Configuration

Alternatives to using Event Viewer

Политики аудита Windows

Настройка Windows Event Forwarding, интеграция с IBM QRadar

Утилита Sysmon

XPath-запросы

IRP-система штатными средствами Windows

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть

Как проверить, что аккаунт пользователя AD заблокирован?

Политики блокировки учетных записей в домене

События блокировки пользователей EventID 4740, 4625

Поиск компьютера, с которого блокируется пользователь с помощью PowerShell

Утилита Microsoft Account Lockout and Management Tools

Как определить программу, из которой блокируется учетная запись пользователя?

What is Windows Audit Failure?

How do I track Windows Audit Failure?

1. With the Event Viewer

2. Use a dedicated solution

ADAudit Plus

Get a password self-service tool

ADSelfService Plus

Windows 10: Audit Failure reports in Event Viewer

Audit Failure reports in Event Viewer

Audit Failure reports in Event Viewer

Audit Failure reports in Event Viewer

Audit Failure reports in Event Viewer — Similar Threads — Audit Failure reports

Lots of completed Audits in Event Viewer

Lots of completed Audits in Event Viewer

Event logs Audit Failure tracking

Event logs Audit Failure tracking

Receiving Numerous Audit Failures in Windows Event viewer Security

What these audits logs in event viewer?

Event Viewer Audit Failures for SeTcbPrivilege

Unexpected Audit Failure in Event Viewer

Event Viewer — Audit Failure 5061

Users found this page by searching for:

cryptographic operation in my event viewer

windows event viewer audit failure

audit failure in event viewer