Event 4797 “Foi feita uma tentativa de consultar a existência de uma senha em branco para uma conta”

Question

Event 4797 “Foi feita uma tentativa de consultar a existência de uma senha em branco para uma conta”

#1 resposta do (9 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)

7

Na minha área de trabalho do Windows 8.1, vejo muitas mensagens como esta de lsass.exe no log de auditoria do Visualizador de Eventos:

An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E5

Additional Information:
    Caller Workstation: PETTER
    Target Account Name:    Administrator
    Target Account Domain:  PETTER

Ela acontece de vez em quando para alguns Nomes de Conta de Destino diferentes, como Administrator , Guest , HomeGroupUser$ , etc. Essa mensagem aparece em determinados intervalos, não importa se eu estou conectado à Internet ou não.

Para garantir que não houvesse nenhuma intenção maliciosa por trás disso, fiz uma verificação de vírus com Malwarebytes, Trend Micro e AVG, que concordaram que o sistema estava limpo.

Eu então reinstalei um sistema limpo; as mensagens ainda reaparecem depois de um tempo.

Não parece importar se o sistema está conectado à rede ou não; mesmo com o cabo de rede desconectado, essas mensagens aparecem. (Talvez não seja tão estranho, considerando que está sendo executado como S-1-5-19 "Serviço local").

Estranhamente, na Internet, parece haver muitos outros que já enfrentaram esse problema, mas os tópicos e as questões permanecem sem resposta.

Qual é a origem dessas mensagens e por que há uma varredura constante de senhas vazias?

Aqui está a saída de auditpol :

C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.

C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure
  User / Device Claims                    No Auditing
Object Access
  File System                             No Auditing
  Registry                                No Auditing
  Kernel Object                           No Auditing
  SAM                                     No Auditing
  Certification Services                  No Auditing
  Application Generated                   No Auditing
  Handle Manipulation                     No Auditing
  File Share                              No Auditing
  Filtering Platform Packet Drop          No Auditing
  Filtering Platform Connection           No Auditing
  Other Object Access Events              No Auditing
  Detailed File Share                     No Auditing
  Removable Storage                       No Auditing
  Central Policy Staging                  No Auditing
Privilege Use
  Non Sensitive Privilege Use             No Auditing
  Other Privilege Use Events              No Auditing
  Sensitive Privilege Use                 No Auditing
Detailed Tracking
  Process Creation                        No Auditing
  Process Termination                     No Auditing
  DPAPI Activity                          No Auditing
  RPC Events                              No Auditing
Policy Change
  Authentication Policy Change            Success
  Authorization Policy Change             No Auditing
  MPSSVC Rule-Level Policy Change         No Auditing
  Filtering Platform Policy Change        No Auditing
  Other Policy Change Events              No Auditing
  Audit Policy Change                     Success
Account Management
  User Account Management                 Success
  Computer Account Management             No Auditing
  Security Group Management               Success
  Distribution Group Management           No Auditing
  Application Group Management            No Auditing
  Other Account Management Events         No Auditing
DS Access
  Directory Service Changes               No Auditing
  Directory Service Replication           No Auditing
  Detailed Directory Service Replication  No Auditing
  Directory Service Access                No Auditing
Account Logon
  Kerberos Service Ticket Operations      No Auditing
  Other Account Logon Events              No Auditing
  Kerberos Authentication Service         No Auditing
  Credential Validation                   No Auditing

security windows-8 event-viewer

por Petter H 29.06.2014 / 12:39

4 respostas

1

Auditorias de segurança

Security auditing is a powerful tool to help maintain the security of an enterprise. Auditing can be used for a variety of purposes, including forensic analysis, regulatory compliance, monitoring user activity, and troubleshooting.

You can use Windows security and system logs to create a security events tracking system, to record and store network activities that are associated with potentially harmful behaviors, and to mitigate those risks.

_{Source: Security Auditing Overview}

As auditorias de segurança são divididas em categorias diferentes, como acesso ao registro e ao sistema de arquivos, tentativas de logon com falha e alterações nas contas de usuários. Certas categorias são ativadas por padrão. Para obter uma lista das disponíveis, você pode executar o seguinte comando em um prompt de comando elevado :

auditpol /get /category:*

Evento 4797

Veja como é um evento típico:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          6/29/2014 10:39:58 AM
Event ID:      4797
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:           0x3E5

Additional Information:
    Caller Workstation:     <ComputerName>
    Target Account Name:    Administrator
    Target Account Domain:  <DomainName>

Como você pode ver, a categoria é Gerenciamento de contas de usuário , que gera eventos de auditoria relacionados para contas de usuário. Ao contrário de outros, este evento específico não parece estar documentado.

Desativar todas as políticas de auditoria

Para confirmar se o recurso de auditoria de segurança interna é o culpado, é possível limpar temporariamente todas as políticas de auditoria, desativando-as.

Abra um prompt de comando elevado.
Faça um backup das políticas de auditoria executando este comando:
```
auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"
```
Verifique se o arquivo foi salvo corretamente. Ele deve estar localizado na área de trabalho. Caso não seja, escolha um caminho de arquivo diferente e tente novamente.
Desative todas as políticas de auditoria:
```
auditpol /clear
```
Reinicie o Windows e verifique se você ainda está recebendo os mesmos eventos. Para restaurar o backup de política criado anteriormente, execute este comando:
```
auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
```

Leitura adicional

por 03.07.2014 / 17:55

1

Tivemos isso em vários sistemas da empresa, então fomos direto para a Microsoft:

"De acordo com a minha descoberta sobre o evento ID 4947" Foi feita uma tentativa de consultar a existência de uma senha em branco para uma conta " Você recebe este evento se tiver Auditoria Habilitada para "Gerenciamento de Conta de Usuário"

O nível de auditoria é informativo e não um aviso ou erro. Esse evento pode ser ignorado com segurança, pois é apenas para fins informativos e para verificar se, por acaso, o usuário está configurado para a senha em branco. Você só vê esse evento se apenas a auditoria estiver ativada e esse evento não implicar em nenhuma violação no sistema "

por 02.03.2017 / 20:54

0

Windows 10, A mensagem "informativa": ID do Evento 4947, "Foi feita uma tentativa de consultar a existência de uma senha em branco para uma conta." começou a aparecer no sistema, visualizador de eventos .... Eu estava preocupado. Solução de problemas para ver porque, de repente, esta msg apareceria. UAC "permissões" muito limitadas, então eu lembrei, eu concedi acesso a / para aplicativos.

Invertido, não mais atormentado por "Foi feita uma tentativa de consultar a existência de uma senha em branco para uma conta."

Nota para si: Não% ^ # $ @ $ ao redor com coisas que 'não quebraram!

por 30.05.2018 / 12:28

Tags security windows-8 event-viewer

Como as regras de filtragem show / hide do rsync diferem de include / exclude? Como exportar variáveis de ambiente para um arquivo de texto

score 9 · Accepted Answer

Isso é normal, não entre em pânico.

Um desses eventos é registrado para cada conta local quando uma dessas coisas acontece:

O bloco do usuário na tela inicial é pressionado para ver o menu suspenso das opções relacionadas à conta:

Neste caso, o Assunto é o usuário atualmente logado (eu, na captura de tela acima). Os eventos são registrados mesmo em máquinas associadas ao domínio, em que nenhuma conta local aparece no menu resultante.
A interface do usuário de logon aparece para mostrar a lista de usuários locais que podem ser conectados. Nesse caso, o assunto é NT AUTHORITY\LOCAL SERVICE . Os eventos não são registrados em máquinas associadas ao domínio, nas quais apenas um nome de usuário e senha são inseridos.

Quanto ao que o evento significa, é o que diz no estanho - um aplicativo sendo executado como o Assunto testado para uma senha em branco na conta especificada pelo Nome da Conta de Destino. O Windows faz isso para que não precise solicitar aos usuários senhas que eles não possuem; seria confuso para algumas pessoas verem uma caixa de senha antes de entrarem quando não tiverem senha.

O Windows não precisará fazer essa verificação até que o usuário clique em um dos outros usuários na tela de logon ou na lista de switches, mas o faz.