4-1 Основи цифрової криміналістики / события Windows
.docx
1) 645, 4771 (Аудит входа в систему) Происшествие 657/4771 на контроллере домена обозначает неудачную попытку входа через Kerberos на рабочем компьютере с доменной учетной записью. Как правило причина - не правильный пароль, но по коду ошибки можно узнать почему именно аутентификация неудачна. Смотрите ниже таблицу кодов ошибок Kerberos.
2) 676, Failed 672, 4768 (Аудит входа в систему) Происшествие 676/4768 относиться к другим типам неудачной аутентификации. Смотрите ниже таблицу кодов ошибок Kerberos. Обратите внимание что в Windows 2003 событие отказа вместо 676 записывается как 672.
3) 681, Failed 680, 4776 (Аудит входа в систему) Происшествие 675/4776 на контроллере домена говорит о неудачной попытке входа в ОС через NTLM под доменной учетной записью. Код самой ошибки говорит, почему аутентификация неудача. Коды ошибок NTLM можно увидеть ниже. Обратите внимание что в Windows 2003 событие отказа вместо 681 записывается как 680.
4) 642/4738 (управление учетной записью) Изменения в учетной записи, такие как активация, деактивация, сброс пароля. Описание уточняется в зависимости от типа изменения.
5) 636/4732 (локальная); 632/4728 (глобальная); 660/4756 (общая) ( управление учетной записью) Пользователь добавлен в группу. Обозначены Локальная (Local), Глобальная (Global), Общая (Universal) в зависимости от каждого ID.
6) 624/4720 (управления учетными записями) Создана учетная запись
7) 644/4740 (управления учетными записями) Учетная запись была заблокирована после неудачных попыток входа
8) 517/1102 (системные события) Пользователь очистил журнал безопасности
Вход/выход (Logon/Logoff)
Event Id — Описание
528/4624 — Удачный вход в систему 529/4625 — Неудачный вход в систему. Неверный пароль или неизвестное имя пользователя 530/4625 — Неудачный вход в систему. Вход не был совершен в течение указаного периода времени 531/4625 — Неудачный вход в систему. Учетная запись пользователя временно деактивирована 532/4625 — Неудачный вход в систему. Срок использования учетной записи пользователя истек 533/4625 — Неудачный вход в систему. Пользователю запрещено входить в систему на указаном компьютере 534/4625/5461 — Неудачный вход. Пользователю запрещен данный тип входа на указаном компьютере 535/4625 — Неудачный вход. Срок действия пароля истек 539/4625 — Неудачный вход. Учетная запись пользователя заблокирована 540/4624 — Успешный вход в систему по сети (Только Windows XP, 2000, 2003)
Типы входов (Logon Types)
Тип входа — Описание
2 — Интерактивный (клавиатура или экран системы) 3 — Сетевой (к примеру подключение по сети к расшареной папке компьютера или IIS вход) 4 — Пакет (batch) (запланированная задача, например) 5 — Служба (Запуск службы) 7 — Разблокировка (например компьютер с защищенным паролем хранителем экрана) 8 — NetworkCleartext (Часто означает вход в IIS с “базовой аутентификацией”. Вход с правами (credentials), пересланными в виде текста.) 9 — NewCredentials 10 — RemoteInteractive (Удаленный рабочий стол, удаленный помощник, терминальные службы ) 11 — CachedInteractive (вход с закешированными полномочиями, к примеру, вход на компьютер, который не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя учетной записи пользователя не существует. 12 —Ограничение времени входа, ограничение компьютера. 18 — Учетка заблокирована, деактивирована, истек ее срок действия. 23 — Истек срок действия пароля. 24 — Предварительная аутентификация не удачная; как правило неверный пароль 32 — Истек срок действия заявки. Это нормальное событие. 37 — Время на компьютере давно не синхронизировалось с контроллером домена
Коды ошибок NTLM
Код ошибки (16-ричная система) - Код ошибки (десятичная система) — Описание
C0000064 - 3221225572 — Имя пользователя не существует C000006A - 3221225578 — Верное имя, но не правильный пароль C0000234 - 3221226036 — пользователь заблокирован C0000072 - 3221225586 — Учетка деактивирована C000006F - 3221225583 — вход вне рабочее время C0000070 - 3221225584 — Ограничение локальной станции C0000193 — 3221225875 - срок действия учетной записи истек C0000071 — 3221225585 - срок действия пароля Истек C0000224 — 3221226020 - необходимо сменить пароль при следующем входе
https://eventlogxp.com/rus/index.html
Event 528 is logged whenever an account logs on to the local computer, except for in the event of network logons (see event 540). Event 528 is logged whether the account used for logon is a local SAM account or a domain account.
Logon types possible:
Logon Type |
Description |
2 |
Interactive (logon at keyboard and screen of system) Windows 2000 records Terminal Services logon as this type rather than Type 10. |
3 |
Network (i.e. connection to shared folder on this computer from elsewhere on network or IIS logon - Never logged by 528 on W2k and forward. See event 540) |
4 |
Batch (i.e. scheduled task) |
5 |
Service (Service startup) |
7 |
Unlock (i.e. unnattended workstation with password protected screen saver) |
8 |
NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information. |
9 |
NewCredentials |
10 |
RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) |
11 |
CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network) |
Если у вас появилось подозрение о том, что кто-то из сотрудников офиса заходит под вашей учётной записью, или у вас пропала конфиденциальная информация (пароли, фото и т.д)
После запуска приложения "Управление компьютером", нам нужно выбрать раздел Просмотр событий->Журналы Windows->Система
И вот тут по правую сторону приложения ищем строчку с Источником "Kernel General", именно она отвечает за запуск и выключения компьютера. Если нажать на данную строчка два раза, мы сможем посмотреть подробности события.
Эта информация может помочь найти решение проблемы в Интернете (впрочем, не всегда) и стоит понимать, какое свойство что означает:
Имя журнала — имя файла журнала, куда была сохранена информация о событии.
Источник — название программы, процесса или компонента системы, которое сгенерировало событие (если вы видите здесь Application Error), то имя самого приложение вы можете увидеть в поле выше.
Код — код события, может помочь найти информацию о нем в Интернете. Правда, искать стоит в англоязычном сегменте по запросу Event ID + цифровое обозначение кода + название приложения, вызывавшего сбой (поскольку коды событий для каждой программы уникальны).
Код операции — как правило, здесь всегда указано «Сведения», так что толку от этого поля мало.
Категория задачи, ключевые слова — обычно не используются.
Пользователь и компьютер — сообщает о том, от имени какого пользователя и на каком компьютере был запущен процесс, вызвавший событие.