Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Правда ? 01.04.03 21:17 Число просмотров: 904
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Вот именно события входа-выхода клиентов, а не события > удачной и не удачной аутентификации клиентов, которые
Это как понимать?, что без аутентификации вход-выход у вас проходит что-ли ? Или попытка войти в домен с неправильным паролем админа ничего не оставит в логах?, ведь по твоему входа-то не было, а неудачная аутентификация не регистрируется...
> регистрируются в домене на рабочих станциях. Вот тебе > цитата из учебного пособия майкрософт по Win2k: > Windows 2000 writes events to the security log on the > computer where the event occurs. For example, any time > someone tries to log on and the logon attempt fails, > Windows 2000 writes an event to the security log on the > computer.
Ну и что ? Тачка в ворк группе, вот и получай запись в свой эвент лог при неудачном локальном входе и запись в чужой эвент при попытке неудачного подключения по сети а еще запись о самом пользователе и причине (имя не обнаружено или пароль не подходит или истек или залочен логин или ещё чего)...
ДА, А ЭТО ЧТО :
Если вы проводите аудит ошибок регистрации пользователей, то, вероятно, обращаете внимание на записи в журнале регистрации событий с кодом 642 - Event ID 642 (User Account Changed). В частности, на текст Account locked out, который означает, что пользователь превысил максимальное число попыток ввода неверного пароля. Предполагается, что это событие система генерирует при регистрации пользователя и в домене, и на локальном компьютере. Но, как выяснилось, при регистрации в домене запись в журнале появляется, тогда как для рабочей станции или сервера этому препятствует ошибка в коде программы аудита. Ошибка оказалась нелокализованной – понадобилось внести изменения в 30 компонентов ядра и модулей безопасности, в том числе в DNS, микроядро, lsass.exe, samsrv.dll и службу времени. Большинство изменений относится к середине января 2002 года, для получения соответствующего кода исправления необходимо позвонить в Microsoft Product Services (PSS). Подробнее об этом рассказано в статье Microsoft "Account Lockout Is Not Audited for Local/SAM User Accounts".
> И это не про локальный вход, а именно про вход в > домен., Угу, и хот фиксы не помогут, как ты уже говорил...
З.Ы. на osp.ru почитай статью по аудиту и событиям безопасности, найдешь легко, она в 3х номерах подряд печаталась в прошлом году, там тебе и
Исправление двух ошибок в коде аудита безопасности
|
|
|