Процесс входа advapi что это
Процесс входа advapi что это
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день. Просматривая журналы безопасности заметил много Аудитов отказа.
В чем может быть проблема?
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 06.04.2018 22:19:15
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: BUX.domen.local
Описание:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: DOMEN\Администратор
Имя учетной записи: Администратор
Домен учетной записи: DOMEN
Код входа: 0x3cdd76d7
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Гость
Домен учетной записи: BUX
Сведения об ошибке:
Причина ошибки: В настоящее время учетная запись отключена.
Состояние: 0xc000006e
Подсостояние: 0xc0000072
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x9224
Имя процесса вызывающей стороны: C:\Windows\explorer.exe
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
Процесс входа advapi что это
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день. Просматривая журналы безопасности заметил много Аудитов отказа.
В чем может быть проблема?
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 06.04.2018 22:19:15
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: BUX.domen.local
Описание:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: DOMEN\Администратор
Имя учетной записи: Администратор
Домен учетной записи: DOMEN
Код входа: 0x3cdd76d7
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Гость
Домен учетной записи: BUX
Сведения об ошибке:
Причина ошибки: В настоящее время учетная запись отключена.
Состояние: 0xc000006e
Подсостояние: 0xc0000072
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x9224
Имя процесса вызывающей стороны: C:\Windows\explorer.exe
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
Процесс входа advapi что это
Общие обсуждения
Помогите разобраться, произошел подбор паролей по всем созданным учетным записям из под одного пользователя внутри терминального сервера. Антивирус никаких предупреждений не выдавал, проводилось полное сканирование в безопасном режиме, ничего не нашло. Как найти источник?
Событие в журнале безопасности
Учетной записи не удалось выполнить вход в систему.
ИД безопасности: ITTERMINAL\a.user1
Имя учетной записи: a.user1
Домен учетной записи: ITTERMINAL
Код входа: 0x54351CD4
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: y.user2
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x7868
Имя процесса вызывающей стороны: C:\Windows\SysWOW64\rundll32.exe
Имя рабочей станции: ITTERMINAL
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного сеансового ключа. Это поле может иметь значение «0», если сеансовый ключ не запрашивался.
Все ответы
Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
Важно: обратите внимание, что указанная утилита, может показать возможное использование средств обхода лицензионного соглашения.
— Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Avis de non-responsabilité:
Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.
Процесс входа advapi что это
Сообщения: 36132
Благодарности: 6547
9112, вы не указываете номера событий.
При блокировке должно быть событие 4800 (Other Logon/Logoff Events) с текстом The workstation was locked (смотрю в англ. ОС). У вас его нет, вы цитируете выход из системы.
При разблокировке 4801 (Other Logon/Logoff Events) The workstation was unlocked.
Там могут быть другие события перед/после разблокировки, выход из системы / вход в систему, и вы как раз их приводите. Но я не вижу ничего связанного с блокировкой у вас.
код события 7036, и вот этим событием забит весь журнал (раздел «система») с момента старта компа. Также в разделе «безопасность» по 100500 раз в день появляются такие отчёты: