181 ответов в этой теме

[maxic]

Lordich, прячьте простыни под спойлер.

[Lordich]

Логи из журнала безопасности локальной машины с XP

Прикрепленные файлы:

•  xp.txt   1,1К   1 Скачано раз

[IlyaS]

Еще можно:
1) отключить Гостя на XP
2) в локальной политике безопасности или в той же GPO - "Локальные политики", "Параметры безопасности":

Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2 ответ
Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам - Включен
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей - Обычная
Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями - Включен
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями - Включен
Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям - Отключен

П.2 и на сервере не мешает сделать хотя бы в локальной политике безопасности.

Сообщение было изменено IlyaS: 07 Апрель 2016 - 10:43

[IlyaS]

Логи из журнала безопасности локальной машины с XP

Тут только изменение политики, нет событий входа. Настраивайте, как написано выше, включая KB2793313, и пробуйте.

[Kirill Polubelov]

Какая-то странная канитель. Может машина как-то в домен криво воткнулась? Перевоткнуть ее в домен, убедиться, что в ADS -> Computers она есть.

[Lordich]

Итак, докладываю, снова провал ( . Поменял локальные политики на вышеописанное (сетевой доступ, безопасность и т.д., как на сервере, так и на локальной машине), применил FixIt, отключил Гостя (он был итак отключен, но пробовал на всякий случай и с включённым). Машинка есть в ADS, но не Computers, a подразделении которое я создал для GPO, делал gpupdate /force, политика применяется, но опять в журнале запись об остутствии доступа к сетевому ресурсу

[IlyaS]

Выполните на XP

gpresult /h 1.htm /scope computer

и выложите здесь в архиве или личным ПМ.
Давно уже в ТП со ссылкой на ветку форума пора.

Сообщение было изменено IlyaS: 07 Апрель 2016 - 12:51

[Lordich]

К сожаленью GPuresult не получилось сделать с ключом /H, т.к. он применим от висты и выше винды. Сделал с параметром /scope computer

Прикрепленные файлы:

•  Снимок.JPG   87,1К   0 Скачано раз

[IlyaS]

Опять подстава на XP
1) тогда gpresult /v /scope computer
2) ваша политика 111 применяется до политики домена, хотя может и все нормально - непонятно
Текст будет лучше картинки.

[Lordich]

/v /scope выкладываю

Прикрепленные файлы:

•  Текстовый документ.txt   8,91К   1 Скачано раз

[IlyaS]

1) на компе "Политика локальной группы" отфильтрована - видимо пустая
2) в "Параметры безопасности" нет указанных ранее настроек NTLM и аноимного доступа.
Вы их где делали: в локальной политике безопасности или GPO? XP, сервера или домена?
Если в GPO домена, то gpupdate /force /target:computer и еще раз получить отчет gpresult.

[Lordich]

Делал в локальной политике безопасности XP и сервера, в GPO не лез.

[Lordich]

скрин с локальной политики безопасности на XP

Прикрепленные файлы:

•  Снимок.JPG   110,15К   0 Скачано раз

[IlyaS]

Ладно, видать не показывает gpresult локальную политику.
Тогда остается самое интересное: увидеть в журнале безопасности сервера и клиента попытку

psexec -s -e cmd /c dir \\192.168.98.115\share

На этот раз там анонимусов быть не должно.

[Lordich]

Логи psexec с хп и сервера

Прикрепленные файлы:

•  xp.txt   141,27К   1 Скачано раз

[Lordich]

Логи psexec с хп и сервера

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения ""Код входа"". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере."

Аудит успеха 07.04.2016 16:24:03 Microsoft-Windows-Security-Auditing 4624 Вход в систему "Вход с учетной записью выполнен успешно.

 

Субъект:

ИД безопасности: NULL SID

Имя учетной записи: -

Домен учетной записи: -

Код входа: 0x0

 

Тип входа: 3

 

Новый вход:

ИД безопасности: АНОНИМНЫЙ ВХОД

Имя учетной записи: АНОНИМНЫЙ ВХОД

Домен учетной записи: NT AUTHORITY

Код входа: 0xbc091e

GUID входа: {00000000-0000-0000-0000-000000000000}

 

Сведения о процессе:

Идентификатор процесса: 0x0

Имя процесса: -

 

Сведения о сети:

Имя рабочей станции: TEST

Сетевой адрес источника: 192.168.99.107

Порт источника: 1188

 

Сведения о проверке подлинности:

Процесс входа: NtLmSsp 

Пакет проверки подлинности: NTLM

Промежуточные службы: -

Имя пакета (только NTLM): NTLM V1

Длина ключа: 0

 

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

 

Поля ""Субъект"" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба ""Сервер"", или локальный процесс, такой как Winlogon.exe или Services.exe.

 

В поле ""Тип входа"" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

 

Поля ""Новый вход"" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

 

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

 

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.

- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.

- В поле ""Промежуточные службы"" указано, какие промежуточные службы участвовали в данном запросе на вход.

- Поле ""Имя пакета"" указывает на подпротокол, использованный с протоколами NTLM.

- Поле ""Длина ключа"" содержит длину созданного ключа сеанса. Это поле может иметь значение ""0"", если ключ сеанса не запрашивался."

Аудит успеха 07.04.2016 15:41:43 Microsoft-Windows-Security-Auditing 4634 Выход из системы "Выполнен выход учетной записи из системы.

 

Субъект:

ИД безопасности: AUPCH\Testov

Имя учетной записи: Testov

Домен учетной записи: AUPCH

Код входа: 0xb6c5f5

 

Тип входа: 3

 

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения ""Код входа"". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере."

Аудит успеха 07.04.2016 15:41:33 Microsoft-Windows-Security-Auditing 4634 Выход из системы "Выполнен выход учетной записи из системы.

[IlyaS]

Я смотрю, ничего не изменилось

Spoiler

Аудит успеха 07.04.2016 16:24:03 Microsoft-Windows-Security-Auditing 4624 Вход в систему "Вход с учетной записью выполнен успешно.
 
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
 
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0xbc091e
GUID входа: {00000000-0000-0000-0000-000000000000}
 
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
 
Сведения о сети:
Имя рабочей станции: TEST
Сетевой адрес источника: 192.168.99.107
Порт источника: 1188
 
Сведения о проверке подлинности:
Процесс входа: NtLmSsp 
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1

по сравнению с #140.
Короче, шляпа. Куда копать, не знаю. Спросите уже в ТП.

[Lordich]

Да жду от них ответа, они тоже дали ссылку на утилиту, просканировал систему, отправил им отчёт)) всё равно спасибо большое за помощь, сам подумать не мог, что столкнусь с такой сложностью

[IlyaS]

Не за что. Жаль, что так и не нарыли причину. Надеюсь, у ТП получится.
Как-то надо запретить XP ходить анонимусом. Помнится, есть у нее в проводнике в меню Сервис, Свойства папки, Упрощенный доступ. Вот если его перевести на Обычный, что-нибудь в событиях входа изменится?

Сообщение было изменено IlyaS: 07 Апрель 2016 - 16:59

[Lordich]

Если вы про использовать простой общий доступ к файлам и папкам, то галки нет.