Ошибка 4 673 контрольных отказа, заполняющие журналы безопасности
У меня есть изолированный настольный компьютер в моем офисе, что я работаю на еженедельных проверках защиты. Я проверяю, что журналы для нечетного поведения затем экспортируют и убирают их.
Журналы заполнены "Контрольным отказом идентификатор 4673 События аудита безопасности Microsoft Windows"
Привилегированный сервис назвали
Тема:
Security ID: System Account Name: Standalone_System_2$ Account Domain: WORKGROUP Logon ID: 0x307Сервис:
Server: Security Account Manager Service Name: Security Account ManagerПроцесс:
Process ID: 0x208 Process Name: C:\Windows\System32\lsass.eseИнформация о запросе на обслуживание:
Privileges: SeTcbPrivilege
Я нашел это сообщение Technet, которое советовало, чтобы я выключил "Контрольное Использование Полномочия"... Не маршрут я должен взять.
Некоторые предположили, что это мог быть антивирус, вызывающий эти записи в журнале... Я не уверен, как определить незаконную учетную запись или сервис. Я проверил сервисы на систему, и я вижу сервис под названием "Администратор учетных данных в системе защиты", однако этот сервис не называют "Диспетчером учетных записей".
Не уверенный, куда пойти, но я хочу получить контроль над этим контрольным журналом! Все эти бесполезные записи делают почти невозможным найти фактические события.
Последняя запись в этом потоке говорит об использовании определенного инструмента для определения пользователя, о котором идет речь для этой ошибки (идентификатор входа уникален с момента загрузки, но после перезагрузки изменяется, поэтому вам нужно посмотреть, что учетная запись подключена к этому запросу) и проверьте, должны ли они иметь разрешения на выполнение того, что они используют: http://answers.microsoft.com/en-us/windows/forum/windows_xp-security/577-many- failures-perpting-to-setcbprivilege-in / 3944f31c-dda4-46d9-adbf-74a9953dedeb
Воспроизведено здесь, потому что форум немного трудно читать:
Я заметил, что получал ПУЧКУ из LSASS. (например, около 17k за ~ 2 часа ... не мог понять, почему регистратору событий требовалось столько операций ввода-вывода ... (он регистрировал много сбоев) ... SeTCBPriv терпит неудачу.
Я использовал ' process hacker2 ', (расширенная версия проводника процессов, теперь, когда processxp управляется MS, (вроде как позволить лисам владеть вашими инструментами для наблюдения за лисами в вашем курятнике!)
Тогда я мог бы посмотрите, какая учетная запись lsass (samss) использовалась для запуска. (либо в службах, либо в процессе hacker2 - на sourceforge.net, BTW).
Затем с помощью панели локальной политики безопасности в инструментах администратора и просмотре под «Назначение прав пользователя»,Я мог убедиться, что все требуемые привилегии, необходимые для запуска, были разрешены (как указано в ACL службы (если они не разрешены, он не будет работать, поэтому обычно это не проблема), НО ТАКЖЕ убедитесь, что учетная запись LSASS, работавший под управлением, имел привилегию «Действовать как часть операционной системы» (доверенная вычислительная база / tcb).
То же самое и для любой другой службы - которая генерирует много ошибок аудита ... проверьте, что у нее есть привилегии ему нужен ACL (что-то невероятно загадочное, что нужно сделать без GUI ...). Если вы не уверены ... поищите его в сети и посмотрите, должна ли он иметь эту привилегию .. если он подписан и сертифицирован MS, то, вероятно, ваша система неправильно настроена (по крайней мере, с точки зрения этой службы ;-)). Затем вам просто нужно предоставить ей необходимые права - ТАКЖЕ изящная вещь в PH2, вы можете просто щелкнуть опцию относительно того, нужно ли или нет, служба работает с кучей других служб или нет. смог отделить интерактивные материалы (аудио / видео / рабочий стол) от фоновых служб, чтобы я мог эффективно расставлять приоритеты - до этого недавнего открытия не было возможности снизить приоритет некоторых более низких предшествующих служб без влияния на звук и / или рабочий стол ...
В любом случае, после того, как убедился, что LSASS имеет tcb privs .. сообщения исчезли ...