информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Бэкдор в xz/liblzma, предназначенный...   Три миллиона электронных замков...   Doom на газонокосилках
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / sysadmin		Имя Пароль

ФОРУМ все доски FAQ IRC новые сообщения site updates guestbook beginners sysadmin programming operating systems theory web building software hardware networking law hacking gadgets job dnet humor miscellaneous scrap регистрация Легенда:   новое сообщение   закрытая нитка   новое сообщение   в закрытой нитке   старое сообщение	Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания. Новичкам также крайне полезно ознакомиться с данным документом. Правда ? 01.04.03 21:17  Число просмотров: 904 Автор: babay <Andrey Babkin> Статус: Elderman <"чистая" ссылка> <обсуждение закрыто> > Вот именно события входа-выхода клиентов, а не события > удачной и не удачной аутентификации клиентов, которые Это как понимать?, что без аутентификации вход-выход у вас проходит что-ли ? Или попытка войти в домен с неправильным паролем админа ничего не оставит в логах?, ведь по твоему входа-то не было, а неудачная аутентификация не регистрируется... > регистрируются в домене на рабочих станциях. Вот тебе > цитата из учебного пособия майкрософт по Win2k: > Windows 2000 writes events to the security log on the > computer where the event occurs. For example, any time > someone tries to log on and the logon attempt fails, > Windows 2000 writes an event to the security log on the > computer. Ну и что ? Тачка в ворк группе, вот и получай запись в свой эвент лог при неудачном локальном входе и запись в чужой эвент при попытке неудачного подключения по сети а еще запись о самом пользователе и причине (имя не обнаружено или пароль не подходит или истек или залочен логин или ещё чего)... ДА, А ЭТО ЧТО : Если вы проводите аудит ошибок регистрации пользователей, то, вероятно, обращаете внимание на записи в журнале регистрации событий с кодом 642 - Event ID 642 (User Account Changed). В частности, на текст Account locked out, который означает, что пользователь превысил максимальное число попыток ввода неверного пароля. Предполагается, что это событие система генерирует при регистрации пользователя и в домене, и на локальном компьютере. Но, как выяснилось, при регистрации в домене запись в журнале появляется, тогда как для рабочей станции или сервера этому препятствует ошибка в коде программы аудита. Ошибка оказалась нелокализованной – понадобилось внести изменения в 30 компонентов ядра и модулей безопасности, в том числе в DNS, микроядро, lsass.exe, samsrv.dll и службу времени. Большинство изменений относится к середине января 2002 года, для получения соответствующего кода исправления необходимо позвонить в Microsoft Product Services (PSS). Подробнее об этом рассказано в статье Microsoft "Account Lockout Is Not Audited for Local/SAM User Accounts". > И это не про локальный вход, а именно про вход в > домен., Угу, и хот фиксы не помогут, как ты уже говорил... З.Ы. на osp.ru почитай статью по аудиту и событиям безопасности, найдешь легко, она в 3х номерах подряд печаталась в прошлом году, там тебе и Исправление двух ошибок в коде аудита безопасности <sysadmin> Поиск  Logon logs (NT4 server) - andrjuha 24.03.03 16:10 [1822] Logon logs (NT4 server) - Viran 31.03.03 12:47 [1017] [штраф:20] 2 Viran А не поучить ли тебе самому мат часть ??,... (-)  - babay 01.04.03 03:11 [959] Logon logs (NT4 server) - Woonder 24.03.03 16:54 [1156] Примерно те-же мысли - babay 24.03.03 17:44 [1033] Машина в домене, вход тоже в домен - andrjuha 24.03.03 23:46 [1109] Машина в домене, вход тоже в домен - Den 25.03.03 14:15 [976] Машина в домене, вход тоже в домен - andrjuha 25.03.03 20:17 [964] Странно... - babay 25.03.03 00:09 [1039] Странно... - andrjuha 25.03.03 16:44 [1033] Странно... [url] - babay 25.03.03 19:22 [992] Не то слово... - andrjuha 25.03.03 20:14 [985] Re: Не то слово... - Den 26.03.03 12:48 [884] Re: Не то слово... - andrjuha 26.03.03 18:18 [982] Re: Не то слово... - Den 26.03.03 18:55 [1021] Re: Не то слово... - andrjuha 26.03.03 23:46 [934] Re: Не то слово... - Den 27.03.03 11:02 [891] В догонку... - Den 27.03.03 12:36 [984] Группы подробно - andrjuha 27.03.03 13:36 [1018] Группы подробно - Den 27.03.03 14:26 [1021] Группы подробно - andrjuha 27.03.03 16:09 [723] Re: Не то слово... - babay 27.03.03 00:43 [823] Re: Не то слово... - andrjuha 27.03.03 13:20 [875] Да вроде тут порядок, дальше думать будем (-)  - babay 27.03.03 13:24 [826] Твой случай...., ставь заплатку... [url] - babay 27.03.03 17:56 [865] Не уверен - andrjuha 28.03.03 00:20 [796] Updated !!! поверь, после напиши, я ещё копну на в... [url] [url] - babay 28.03.03 00:30 [815] Вроде все понял - andrjuha 04.04.03 01:22 [971] Пожалуйста ;-), Закрывай обсуждение через твой ко... (-)  - babay 04.04.03 13:51 [726] Можно еще Rollup Package накатить - Q299444.EXE по... (-)  - Den 28.03.03 17:09 [1023] Мда... А мне терпения не хватило прочесть эту стат... (-)  - Den 27.03.03 18:04 [760] Бывает. Если подошло - пусть andrjuha закрывает тему. - babay 27.03.03 19:03 [873] Это такая фича. - Viran 31.03.03 12:59 [934] Это фантастика - babay 31.03.03 18:21 [812] Это реальность - Viran 01.04.03 17:46 [857] Правда ? - babay 01.04.03 21:17 [904] в догон... [url] [url] - babay 01.04.03 21:40 [751] У меня ощущение, что вы, господа, явно друг друга... (-)  - Den 01.04.03 19:43 [775] Может быть я излишне резок, но, имхо, тебе к врачу. (-)  - ZloyShaman 01.04.03 18:03 [813]

Copyright © 2001-2024 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach