Содержание
Табличка по групповым политиками и событиям в журнале — Заметки системного администратора
Ноя 15, 2016
Тадам!
Еще не Новый Год, но Дед Мороз уже во всю дарит подарки. Я был хорошим мальчиком, потому один из своих подарков я полчил сегодня.
И подарок этот — чудесная табличка, которая подскажет нам какую именно политику нужно подкрутить чтобы получить нужный на Event ID для сбора и последующего анализа информации. Т.к.
одним из моих направление развития есть сесурити, в табличке собраны именно события по этой самой сесурити.
Итак, сама табличка —
| Account Logon | Audit Credential Validation | 4774, 4775, 4776, 4777 |
| Audit Kerberos Authentication Service | 4768, 4771, 4772 | |
| Audit Kerberos Service Ticket Operations | 4769, 4770 | |
| Audit Other Account Logon Events | 4649, 4778, 4779, 4800, 4801, 4802, 4803, 5378, 5632, 5633 | |
| Account Management | Audit Application Group Management | 4783, 4784, 4785, 4786, 4787, 4788, 4789, 4790 |
| Audit Computer Account Management | 4741, 4742, 4743 | |
| Audit Distribution Group Management | 4744, 4745, 4746, 4747, 4748, 4749, 4750, 4751, 4752, 4753, 4759, 4760, 4761, 4762 | |
| Audit Other Account Management Events | 4782, 4793 | |
| Audit Security Group Management | 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764 | |
| Audit User Account Management | 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740, 4765, 4766, 4767, 4780, 4781, 4794, 5376, 5377 | |
| Detailed Tracking | Audit DPAPI Activity | 4692, 4693, 4694, 4695 |
| Audit Process Creation | 4688, 4696 | |
| Audit Process Termination | 4689 | |
| Audit RPC Events | 5712 | |
| DS Access | Audit Detailed Directory Service Replication | 4928, 4929, 4930, 4931, 4934, 4935, 4936, 4937 |
| Audit Directory Service Access | 4662 | |
| Audit Directory Service Changes | 5136, 5137, 5138, 5139, 5141 | |
| Audit Directory Service Replication | 4932, 4933 | |
| Logon/Logoff | Audit Account Lockout | 4625 |
| Audit IPsec Extended Mode | 4978, 4979, 4980, 4981, 4982, 4983, 4984 | |
| Audit IPsec Main Mode | 4646, 4650, 4651, 4652, 4653, 4655, 4976, 5049, 5453 | |
| Audit IPsec Quick Mode | 4977, 5451, 5452 | |
| Audit Logoff | 4634, 4647 | |
| Audit Logon | 4624, 4625, 4648, 4675 | |
| Audit Network Policy Server | 6272, 6273, 6274, 6275, 6276, 6277, 6278, 6279, 6280 | |
| Audit Other Logon/Logoff Events | 4649, 4778, 4779, 4800, 4801, 4802, 4803, 5378, 5632, 5633 | |
| Audit Special Logon | 4964 | |
| Object Access | Audit Application Generated | 4665, 4666 ,4667, 4668 |
| Audit Certification Services | 4868, 4869, 4870, 4871, 4872, 4873, 4874, 4875, 4876, 4877, 4878, 4879, 4880, 4881, 4882, 4883, 4884, 4885, 4886 ,4887, 4888, 4889, 4890, 4891, 4892, 4893, 4894, 4895, 4896, 4897, 4898 | |
| Audit Detailed File Share | 5145 | |
| Audit File Share | 5140, 5142, 5143, 5144, 5168 | |
| Audit File System | 4664, 4985, 5051 | |
| Audit Filtering Platform Connection | 5031, 5140, 5150, 5151, 5154, 5155, 5156, 5157, 5158, 5159 | |
| Audit Filtering Platform Packet Drop | 5152, 5153 | |
| Audit Handle Manipulation | 4656, 4658, 4690 | |
| Audit Kernel Object | 4659, 4660, 4661, 4663 | |
| Audit Other Object Access Events | 4671, 4691, 4698, 4699, 4700, 4701, 4702 ,5148, 5149, 5888, 5889, 5890 | |
| Audit Registry | 4657, 5039 | |
| Audit SAM | 4659, 4660, 4661, 4663 | |
| Policy Change | Audit Audit Policy Change | 4715, 4719, 4817, 4902, 4904, 4905, 4906, 4907, 4908, 4912 |
| Audit Authentication Policy Change | 4713, 4716, 4717, 4718, 4739, 4864, 4865, 4866, 4867 | |
| Audit Authorization Policy Change | 4704, 4705, 4706, 4707, 4714 | |
| Audit Filtering Platform Policy Change | 4709, 4710, 4711, 4712, 5040, 5041, 5042, 5043, 5044, 5045, 5046, 5047, 5048, 5440, 5441, 5442, 5443, 5444, 5446, 5448, 5449, 5450, 5456, 5457, 5458, 5459, 5460, 5461, 5462, 5463, 5464, 5465, 5466, 5467, 5468, 5471, 5472, 5473, 5474, 5477 | |
| Audit MPSSVC Rule-Level Policy Change | 4944, 4945, 4946, 4947, 4948, 4949, 4950, 4951, 4952, 4953, 4954, 4956, 4957, 4958 | |
| Audit Other Policy Change Events | 4670, 4909, 4910, 5063, 5064, 5065, 5066, 5067, 5068, 5069, 5070, 5447, 6144, 6145 | |
| Privilege Use | Audit Non-Sensitive Privilege Use | 4672, 4673, 4674 |
| Audit Sensitive Privilege Use | 4672, 4673, 4674 | |
| Audit Other Privilege Use Events | N/A | |
| System | Audit IPsec Driver | 4960, 4961, 4962, 4963, 4965, 5478, 5479, 5480, 5483, 5484, 5485 |
| Audit Other System Events | 5024, 5025, 5027, 5028, 5029, 5030, 5032, 5033, 5034, 5035, 5037, 5058, 5059, 6400, 6401, 6402, 6403 ,6404, 6405, 6406, 6407, 6408 | |
| Audit Security State Change | 4608, 4609 ,4616, 4621 | |
| Audit Security System Extension | 4610, 4611, 4614, 4622, 4697 | |
| Audit System Integrity | 4612, 4615, 4618, 4816, 5038, 5056, 5057, 5060, 5061, 5062, 6281 | |
| Glbal Object Access Auditing | Registry (GOAA) | N/A |
| File System (GOAA) | N/A |
И описания ивентов, которые я содрал с Хабрахабра —
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему) Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему) Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему черезNTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См.
событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует3221225578 — C000006A — Верное имя пользователя, но неверный пароль3221226036 — C0000234 — Учетная запись пользователя заблокирована3221225586 — C0000072 — Учетная запись деактивирована3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)3221225584 — C0000070 — Ограничение рабочей станции3221225875 — C0000193 — Истек срок действия учетной записи3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Источник: https://sys-admin.in.ua/tablichka-po-gruppovym-politikami-sobytiyam-v-zhurnale.html
10 критически важных event ID для мониторинга Windows
По данным статьи Рэнди Франклина Смита (CISA, SSCP, Security MVP). В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита.
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему) Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему) Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему черезNTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.Коды ошибок NTLM приведены ниже.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Ошибки windows 7: что обозначают коды?
Каждый пользователь ПК знает про появление экрана смерти (или BSoD). Синий экран извещает о том, что на компьютере обнаружены фатальные ошибки windows 7, из-за чего устройство вышло из строя.
Операционная система выводит на монитор коды ошибок windows 7, их названия и варианты исправления.
Поэтому синий экран – не просто набор символов на синем фоне, а источник нужной пользователю информации.
Появление экрана смерти ведет за собой временную приостановку процессов на устройстве, позволяя спасти пользовательские файлы и данные от перезаписи, стирания или искажения.
В некоторых ситуациях помогает перезагрузка компьютера – синий экран исчезает, если ошибка была вызвана некорректной обработкой данных или сбоем при передаче пакетов информации.
Однако постоянные фатальные ошибки говорят о серьезных проблемах.
Это неполадки в аппаратной структуре компьютера – «сломанные» драйвера, сгорание модуля оперативной памяти или поломка жесткого диска.
Тип фатальной ошибки определяют коды – две первые строки на синем экране (специальный номер и название неисправности).
Функция выведения на экран сообщений BSoD может быть отключена пользователем в ходе работы какой-либо программы. Тогда компьютер будет просто перезагружаться, не выдавая уведомлений.
Тогда определить, что стало причиной неполадки, становится сложно.
Отключите автоматическую перезагрузку («Мой компьютер» → «Свойства» → Дополнительные настройки → в блоке восстановления и загрузки находим параметры перезагрузки, где убираем галочку напротив надписи «Выполнить автоматическую перезагрузку»).
Как истолковать синий экран смерти?
BSoD выглядит следующим образом:
- Первое поле включает в себя название возникшей ошибки windows 7.
- Вторая область – это подробное описание проблемы и способы ее устранения.
- Под цифрой три – номер (или код) ошибки.
- Параметры, соответствующие найденной ошибке.
- Название драйвера, во время работы которого возникла неисправность.
- Специальный адрес ошибки.
Если операционная система перезагрузилась после появления синего экрана – поломка не была критической.
В противном случае запишите пункты 1 и 3 со скриншота и отыщите решение проблемы, указав ее код и название.
Или же выполните действия, которые предлагает сама система windows, указанные в третьем поле на скриншоте.
Ошибочно мнение, что после синего экрана осталось только переустановить операционную систему.
Иногда достаточно переустановить драйвер, не совместимый с остальным оборудованием (пятый пункт на скриншоте), а не прибегать к радикальным методам.
Если причина кроется в аппаратной части – придется переустанавливать систему или заменять комплектующие.
Подборка утилит, автоматически исправляющих ошибки виндовс 7
Утилита от разработчиков Виндовс. Она не является универсальной – направлена на устранение конкретной ошибки (чтение DVD-дисков, автозапуск софта, копирование пользовательских файлов и т. д.).Распространяется бесплатно.
Для нахождения и исправления ошибки зайдите на веб-сайт Центра решений Майкрософт и выберите тематику неполадки.
Укажите ее тип, затем скачайте утилиту Fix It (сайт выдаст несколько вариантов, найдите наиболее связанный с Вашей проблемой).
Далее Вам остается только запустить программу с администраторскими правами, дождаться, пока утилита найдет и исправит ошибку и перезагрузить ноутбук или ПК.
Утилита хороша тем, что ее действия не повредят операционной системе. Однако предложенные способы могут оказаться неэффективными.
Программа совместима со всеми версиями ОС Виндовс, распространяется бесплатно. Подойдет опытным пользователям, уже встречавшимся с некоторыми неисправностями и знающим основные понятия, используемые в параметрах драйверов, служб, интернет-соединения и т. д.
Утилита не рассчитана на автоматическое решение проблем с компьютером. Она анализирует состояние системы и выдает пользователю варианты, как исправить ситуацию. С помощью программы можно проверить сетевые настройки и провести диагностику софта и аппаратной системы.
Утилита не русифицирована.
Как избавиться от синего экрана смерти?
Часто экран смерти появляется после удаления пользователем важных системных файлов или программного обеспечения. Поэтому нужно выполнить восстановление операционной системы:
- Зайдите в меню «Пуск» и начните набирать в строчке поиска «Восстановление системы». Откройте найденный файл.
- Установите дату точки восстановления раньше даты действий, которые привели к неполадкам системы.
- Перезагрузите устройство – BsoD не должен больше отображаться.
- Если Вы не удаляли никаких системных файлов или утилит, определите по описанию на синем экране программу, файл или драйвер, вызвавшие BSoD. Отыщите их через «Панель управления» → «Удаление программы» и деинсталлируйте. Загрузите версии нужных программ с официальных веб-сайтов, не допуская новой поломки.
- Проверьте температуру компонентов компьютера в режиме работы, используя специальные программы. Они покажут температуру комплектующих и отыщут «слабые» места в сборке. Если температура какой-либо части близка к критической, деталь следует заменить на новую либо отремонтировать.
- 0x00000001: APC_INDEX_MISMATCH
Появляется из-за большого количества повторных вызовов, включения-отключения АРС драйверов или системы файлов компьютера. Чтобы устранить неполадку, обновите версию операционной системы.
- 0x00000025: NPFS_FILE_SYSTEM
Свободная операционная память компьютера переполнена. Увеличьте объем оперативной памяти, чтобы убрать ошибку.
- 0x00000026: CDFS_FILE_SYSTEM
Повреждена файловая система Вашего устройства или установленные драйвера не совместимы с остальным оборудованием. Чтобы это исправить, проведите полную диагностику разделов жесткого диска, выявив битые сектора. Затем приобретите дополнительный объем оперативной памяти.
Популярные ошибки windows 7 – не загружается операционная система
Чтобы исправить появившуюся неисправность, Вам понадобится установочный диск или флешка с образом Виндовс.
Подключите съемный носитель к ноутбуку или ПК и перезагрузите устройство.
В начале перезагрузки нажмите на одну из кнопок F1-F12 или Delete, в зависимости от модели устройства, зайдя в БИОС.
Там выставите по умолчанию загрузку с CD/DVD-диска или USB-устройства. Компьютер заново перезагрузится и Вы увидите окошко установки Виндовс.
Выберите язык и нажмите «Далее».
Отметьте пункт «Восстановление системы». Компьютер найдет все системы, установленные на жестком диске. Выберите нужную из списка, нажмите «Далее».
Программа установки просканирует ОС на наличие неисправностей при загрузке и попробует от них избавиться. После чего будет совершен откат к точке восстановления.
Этот способ не всегда оказывается эффективным – если откат и восстановление операционной системы не помогли, ищите проблему по ее названию и коду, указанным на синем экране смерти.
Источник: https://pclegko.ru/windows-7-8-10/oshibki-windows-7.html
