Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting (click here to read the full text RU/EN)   09/20/2017

      Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published. || По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.
Sign in to follow this  
katbert

Анализ журналов не реагирует на подбор пароля с Windows 2003

Recommended Posts

Если подбирать пароль от защищенного KSWS10.1 сервера, пытаясь подключиться с сервера Windows 2003 SP2 - то модуль Анализ журналов не реагирует на это.

Хотя в журнале аудита сервера с KSWS10.1 исправно фиксируются события с аудитом отказа

logon_failed.png

Share this post


Link to post
Цитата

Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        система
    Имя учетной записи:        KODEKS-SRV$
    Домен учетной записи:        SOMEDOMAIN
    Код входа:        0x3e7

Тип входа:            10

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        hacker
    Домен учетной записи:        SOMEDOMAIN

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xc000006d
    Подсостояние:        0xc0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x1028
    Имя процесса вызывающей стороны:    C:\Windows\System32\winlogon.exe

Сведения о сети:
    Имя рабочей станции:    KODEKS-SRV
    Сетевой адрес источника:    192.168.1.2
    Порт источника:        2728

Сведения о проверке подлинности:
    Процесс входа:        User32
    Пакет проверки подлинности:    Negotiate
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Вот полный текст события с аудитом отказа:

Share this post


Link to post

Отличие в том, что RDP-клиент от Windows Server 2012 умеет делать сетевую авторизацию

А RDP-клиент от Windows 2003 - не умеет, и для ввода пароля отображает GUI сервера, к которому происходит подключение

Share this post


Link to post

А может, проблема в самом модуле анализа журналов. Попробовал подобрать пароль с другого сервра, который умеет делать сетевую проверку подлинности ntlm. Но и тут реакции нет. Похоже, модуль анализа журналов устал, проработав 3 дня и проанализировав 1193794 события

Audit_ntlm.png

Share this post


Link to post

Добрый день.

Опишите, пожалуйста, тестовый стенд (настройки) и последовательность действий.

Не можем воспроизвести проблему у себя.

Share this post


Link to post

Стенд - файловый сервер Windows 2008 R2 SP1, с KSWS 10.1 и агентом KSC 10.4 (a). На машине с KSC стоит только плагин для KSWS10.1, политик и задач нет.

KSWS10.1 настраивается локально. Модуль Анализа журналов был включен с настойками по умолчанию, и как я уже писал в соседней теме - в самом начале четко отработал на подбор пароля. Но спустя 3 дня / 1193794 события - похоже, устал. Сначала я думал, что нет реакции на подбор пароля именно с 2003-го сервра, но чуть позже выяснилось, что и с 2008 R2 реакции тоже нет.

Edited by katbert

Share this post


Link to post

Нужны ли трассировки в момент не-реагирования на подбор пароля?

Share this post


Link to post

Добрый вечер.
Сделал стенд как у вас.
Каждую минуту с машины Win 2003 происходит 2 попытки установить rdp сессию на машину Windows 2008 R2 SP1, защищаемую KSWS 10 Sp1, с использованием несуществующей комбинации "пользователь - пароль".
Это минимум в рамках лимита по умолчанию, который установлен как 10 попыток за 300 секунд. 
Обнаружение попыток ввода неверного пароля приходит исправно.
Оставлю до понедельника, посмотрим на работу компонента через несколько дней непрерывной работы в таком режиме.
 

1 час назад, katbert сказал:

Нужны ли трассировки в момент не-реагирования на подбор пароля?

Пришлите, пожалуйста. + WEL файл и настройки Local security policy в части Account lockout policy и Audit policy.

Share this post


Link to post

Трассировку пришлю. Политики Account lockout policy не должны влиять - я ломился под несуществующей учеткой

И что есть WEL файл ?

Share this post


Link to post
18 часов назад, katbert сказал:

Трассировку пришлю. Политики Account lockout policy не должны влиять - я ломился под несуществующей учеткой

И что есть WEL файл ?

Windows Event Log - экспорт в файл *.evtx

 

Кстати, за выходные такими темпами (2 обращения в минуту) не успею набрать нужное количество событий. Увеличил до 50 обращений в минуту. 

Share this post


Link to post

Удалось воспроизвести проблему и  собрать трассировки. Теперь вопрос - куда их залить? Вроде бы есть FTP для тестеров

Возможно, для воспроизведения проблемы на вашей стороне будет важно: перед попытками авторизации под несуществующей доменной учетной записью kuku я зашел на сервер с KSWS10.1 под учетной записью администратора домена и открыл консоль KSWS10.1 на разделе Анализ журналов и системную консоль Просмотр событий, в которой был открыт журнал Security с фильтром по событию 4625. Между нескольким попытками подбора пароля смотрел - события 4625 исправно фиксировались

no_reaction.png

Share this post


Link to post
В 21.12.2017 в 16:15, katbert сказал:

И в чем же была проблема?

Это нельзя назвать проблемой, так как это нативное поведение Windows Event Log

Судя по логам, Windows Event Log настроен таким образом, что через определенное количество записей регистрация событий становится гораздо реже, чем они происходят на самом деле.

Я это воспроизвел и на нашем стенде. 

Такая частота появления событий в WEL не попадает под критерий срабатывания данной эвристики в нашем продукте. 

Следует перенастроить работу Windows Event Log. Например, увеличить разрешенный максимальный размер, убрать цикличную перезапись лога...

Баг закрыт как by design.

 

Share this post


Link to post

Но в моем случае все события были в EventLog-е, выше скрины приводил.

Share this post


Link to post
1 hour ago, katbert said:

Но в моем случае все события были в EventLog-е, выше скрины приводил.

Здравствуйте,

информацию передали.

Спасибо.

 

Share this post


Link to post
2 hours ago, katbert said:

Но в моем случае все события были в EventLog-е, выше скрины приводил.

Приложите, пожалуйста, экспорт журналов событий.

Спасибо.

 

Share this post


Link to post
4 минуты назад, Dmitry Eremeev сказал:

Приложите, пожалуйста, экспорт журналов событий.

Спасибо.

 

20 декабря вместе с трассировками заливал на FTP - в момент воспроизведения проблемы с не-реагированием на подбор пароля

Share this post


Link to post

Добрый день.
Исправление бага войдет в релиз.
Пересмотрели логику накопления статистики WEL Events ID.
Спасибо за участие в тестировании.

Share this post


Link to post
Sign in to follow this  

×