7

На рабочем столе Windows 8.1 я вижу много таких сообщений от lsass.exe в журнале аудита программы просмотра событий:

An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E5

Additional Information:
    Caller Workstation: PETTER
    Target Account Name:    Administrator
    Target Account Domain:  PETTER

Это происходит время от времени для нескольких разных имен целевых учетных записей, таких как « Administrator , « Guest , « HomeGroupUser$ и т.д. Это сообщение появляется через определенные промежутки времени, независимо от того, подключен ли я к Интернету или нет.

Чтобы убедиться в том, что за этим нет злонамеренных намерений, я провел проверку на вирусы с помощью Malwarebytes, Trend Micro и AVG, которые все были согласны с тем, что система на самом деле была чистой.

Затем я переустановил чистую систему; сообщения все еще появлялись через некоторое время.

Кажется, не имеет значения, подключена ли система к сети или нет; эти сообщения появляются даже при отключенном сетевом кабеле. (Возможно, это не так странно, учитывая, что он работает как S-1-5-19 "Местная служба".)

Как ни странно, в Интернете, кажется, есть много других, кто сталкивался с этой самой проблемой, но темы и вопросы там остаются без ответа.

Каково происхождение этих сообщений и почему постоянно проверяются пустые пароли?

Вот результат auditpol:

C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.

C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure
  User / Device Claims                    No Auditing
Object Access
  File System                             No Auditing
  Registry                                No Auditing
  Kernel Object                           No Auditing
  SAM                                     No Auditing
  Certification Services                  No Auditing
  Application Generated                   No Auditing
  Handle Manipulation                     No Auditing
  File Share                              No Auditing
  Filtering Platform Packet Drop          No Auditing
  Filtering Platform Connection           No Auditing
  Other Object Access Events              No Auditing
  Detailed File Share                     No Auditing
  Removable Storage                       No Auditing
  Central Policy Staging                  No Auditing
Privilege Use
  Non Sensitive Privilege Use             No Auditing
  Other Privilege Use Events              No Auditing
  Sensitive Privilege Use                 No Auditing
Detailed Tracking
  Process Creation                        No Auditing
  Process Termination                     No Auditing
  DPAPI Activity                          No Auditing
  RPC Events                              No Auditing
Policy Change
  Authentication Policy Change            Success
  Authorization Policy Change             No Auditing
  MPSSVC Rule-Level Policy Change         No Auditing
  Filtering Platform Policy Change        No Auditing
  Other Policy Change Events              No Auditing
  Audit Policy Change                     Success
Account Management
  User Account Management                 Success
  Computer Account Management             No Auditing
  Security Group Management               Success
  Distribution Group Management           No Auditing
  Application Group Management            No Auditing
  Other Account Management Events         No Auditing
DS Access
  Directory Service Changes               No Auditing
  Directory Service Replication           No Auditing
  Detailed Directory Service Replication  No Auditing
  Directory Service Access                No Auditing
Account Logon
  Kerberos Service Ticket Operations      No Auditing
  Other Account Logon Events              No Auditing
  Kerberos Authentication Service         No Auditing
  Credential Validation                   No Auditing

4 ответа4

9

Это нормально, не паникуйте.

Одно из этих событий регистрируется для каждой локальной учетной записи, когда происходит одно из следующих двух событий:

  1. Плитка пользователя на начальном экране нажимается, чтобы получить раскрывающийся список параметров, связанных с учетной записью:

    пользовательский тайл

    В этом случае Субъект является текущим вошедшим пользователем (я, на скриншоте выше). События регистрируются даже на присоединенных к домену компьютерах, где в результирующем меню не отображаются локальные учетные записи.

  2. Пользовательский интерфейс входа в систему отображает список локальных пользователей, в которых можно войти. В этом случае субъектом является NT AUTHORITY\LOCAL SERVICE . События не регистрируются на присоединенных к домену компьютерах, где вводятся только имя пользователя и пароль.

Что касается того, что означает событие, это то, что оно говорит на банке - приложение, запущенное в качестве Субъекта, проверило наличие пустого пароля в учетной записи, указанной в названии целевой учетной записи. Windows делает это так, что ей не нужно запрашивать у пользователей пароли, которых у них нет; для некоторых людей было бы непонятно видеть поле пароля перед тем, как они войдут в систему, когда у них нет пароля.

Windows не должна выполнять эту проверку до тех пор, пока пользователь не нажмет на одного из других пользователей на экране входа в систему или в списке переключателей, но это не так.

1

Это произошло в нескольких системах нашей компании, поэтому мы обратились непосредственно к Microsoft:

«Согласно моему выводу относительно события с кодом 4947« Была предпринята попытка запросить наличие пустого пароля для учетной записи ». Вы получите это событие, если у вас включена функция аудита для« Управление учетными записями пользователей »

Уровень аудита является информационным, а не предупреждением или ошибкой. Это событие может быть безопасно проигнорировано, поскольку оно предназначено только для информационных целей и проверки того, установлен ли пользователь случайно для Пустого пароля. Вы видите это событие только в том случае, если включен только аудит, и это событие не подразумевает каких-либо нарушений в системе ».

1

Аудит безопасности

Аудит безопасности - это мощный инструмент, помогающий поддерживать безопасность предприятия. Аудит может использоваться для различных целей, включая криминалистический анализ, соответствие нормативным требованиям, мониторинг активности пользователей и устранение неполадок.

Вы можете использовать систему безопасности Windows и системные журналы для создания системы отслеживания событий безопасности, для записи и хранения сетевых операций, связанных с потенциально опасным поведением, и для снижения этих рисков.

Источник: Обзор аудита безопасности

Аудиты безопасности делятся на различные категории, такие как доступ к реестру и файловой системе, неудачные попытки входа в систему и изменения учетных записей пользователей. Некоторые категории включены по умолчанию. Чтобы получить список доступных, вы можете запустить следующую команду из командной строки с повышенными привилегиями:

auditpol /get /category:*

Событие 4797

Вот как выглядит типичное событие:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          6/29/2014 10:39:58 AM
Event ID:      4797
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:           0x3E5

Additional Information:
    Caller Workstation:     <ComputerName>
    Target Account Name:    Administrator
    Target Account Domain:  <DomainName>

Как видите, категория « Управление учетными записями пользователей» генерирует события аудита, связанные с учетными записями пользователей. В отличие от других, это конкретное событие, похоже, не задокументировано.

Отключить все политики аудита

Чтобы проверить, является ли виновной встроенная функция аудита безопасности, вы можете временно очистить все политики аудита, отключив их.

  1. Откройте командную строку с повышенными правами.

  2. Сделайте резервную копию политик аудита, выполнив эту команду:

    auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"
    

    Убедитесь, что файл был сохранен правильно. Он должен быть расположен на рабочем столе. Если это не так, выберите другой путь к файлу и повторите попытку.

  3. Отключите все политики аудита:

    auditpol /clear
    
  4. Перезагрузите Windows и проверьте, получаете ли вы все те же события. Чтобы восстановить резервную копию политики, созданную ранее, выполните следующую команду:

    auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
    

дальнейшее чтение

0

Windows 10, "информационное" сообщение: код события 4947, "была предпринята попытка запросить наличие пустого пароля для учетной записи". начал появляться в системе, просмотрщик событий .... Я был обеспокоен. Устранение неполадок, чтобы понять, почему вдруг появилось это сообщение. "Разрешения" UAC очень ограничены, потом я вспомнил, что предоставил доступ к / для приложений.

Перевернулось, больше не страдает от «Попытка сделать запрос на наличие пустого пароля для учетной записи».

Примечание для себя: не% ^ # $ @ $ с вещами, которые не сломались!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .