Uma tonelada de eventos de Logon / off no Visualizador de Eventos

2

Estou executando um servidor Win2012 no VMware, instalei o IIS, NAP, VPN, DHCP, DNS, WDS, AD DS e AD CS. Eu tenho clientes win7 no meu domínio, mas eles não estão ativados.

O problema é que estou recebendo uma grande quantidade de eventos com ID 4634, 4624 e 4672. Estou recebendo um evento a cada 2 segundos praticamente. Eles são todos provenientes do meu servidor Win2012.

Exemplo de evento de logon:

An account was successfully logged on.
Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Delegation

New Logon:
    Security ID:        SYSTEM
    Account Name:       DC-SERVER$
    Account Domain:     SKOLE
    Logon ID:       0x20BE923
    Logon GUID:     GUID

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: fe80::e130:38a0:ae35:35bd
    Source Port:        58047

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

A falsificação de identidade muda entre delegação e falsificação de identidade. A porta de origem também muda o tempo todo.

Como você pode ver, esses eventos ocorrem várias vezes no mesmo segundo. Não tenho absolutamente nenhuma ideia do que está causando isso. Eu pesquisei no fórum e procurei respostas no fórum, mas não consegui encontrar nada que ajudasse.

E para qualquer um que me diga para desligar a auditoria - Não, não vou, quero encontrar o problema ou obter uma boa explicação.

Atualização:

Aparentemente eu tive esse problema por um bom tempo, mas eu realmente não notei até agora. Eu tenho um instantâneo do meu servidor onde eu não tenho NAP, VPN e AD CS instalado, mas ainda estou recebendo uma tonelada de eventos. Tenho certeza de que isso tem algo a ver com o AD. Alguém aí que possa ajudar?

    
por Bungicasse 01.09.2016 / 09:15

1 resposta

2

A julgar pelo nome do servidor que contém DC, presumo que seja um controlador de domínio.
Observe também que o tipo de logon é 3, significando um logon de rede.

Para eventos 4624 e 4634 com o tipo de logon 3:

Você verá esses eventos bastante em um controlador de domínio, já que seu principal negócio é a autenticação ... Geralmente, eles são muito barulhentos e não são usados com frequência em perícias reais. Sem outras aplicações para filtrar o ruído.

On domain controllers you often see one or more logon/logoff pairs immediately following authentication events for the same user. But these logon/logoff events are generated by the group policy client on the local computer retrieving the applicable group policy objects from the domain controller so that policy can be applied for that user. Then approximately every 90 minutes, Windows refreshes group policy and you see a network logon and logoff on the domain controller again. These network logon/logoff events are little more than noise.

...

Successful network logon and logoff events are little more than “noise “on domain controllers and member servers because of the amount of information logged and tracked. Unfortunately you can’t just disable successful network logon/logoff events without also losing other logon/logoff events for interactive, remote desktop, etc. Noise can’t be configured out of the Windows security log; that’s the job of your log management / SIEM solution.

Para 4672 (eventos de logon especiais):

Isso vem de algo que exige privilégios especiais .
Executando uma tarefa agendada com privilégios de administrador, um aplicativo que foi executado como administrador marcado ou apenas o logon com uma conta de administrador, ...

Você pode analisá-los e ver o que está sendo executado com privilégios especiais e se deve ou não ser.

    
por 02.09.2016 / 11:02