web-dev-qa-db-ja.com

エラー4673監査失敗によるセキュリティログの入力

私のオフィスには、毎週セキュリティ監査を実行する隔離されたデスクトップコンピュータがあります。私は奇妙な振る舞いがないかログをチェックし、エクスポートしてクリアします。

ログには「監査失敗Microsoft Windowsセキュリティ監査イベントID 4673」が記録されています

特権サービスが呼び出されました

件名:

 Security ID:          System

 Account Name:         Standalone_System_2$

 Account Domain:       WORKGROUP

 Logon ID:             0x307

サービス:

 Server:               Security Account Manager

 Service Name:         Security Account Manager

処理する:

 Process ID:           0x208

 Process Name:         C:\Windows\System32\lsass.ese

サービスリクエスト情報:

 Privileges:           SeTcbPrivilege

私は このTechnetの投稿 を見つけました。これは、「監査特権の使用」をオフにするようにアドバイスしています...必要なルートではありません。

一部のユーザーは、これらのログエントリを引き起こすウイルス対策である可能性があると示唆しています...問題のあるアカウントまたはサービスを特定する方法がわかりません。システム上のサービスを確認したところ、「セキュリティAccountsManager」という名前のサービスが表示されましたが、このサービスはではありません「SecurityAccountManager」という名前です。

どこに行くべきかわからないが、この監査ログを管理したい!これらの役に立たないエントリはすべて、実際のイベントを見つけることをほぼ不可能にします。

2
Shrout1

このスレッドの最後のエントリは、特定のツールを使用してこのエラーの問題のユーザーを特定することを述べています(ログインIDはブート以降は一意ですが、再起動後に変更されるため、このリクエストに接続されているアカウントを確認する必要があります)。彼らには、自分が意図していることを実行するためのアクセス許可が必要です。 http://answers.Microsoft.com/en-us/windows/forum/windows_xp-security/577-many-failures-pertaining-to-setcbprivilege-in/3944f31c-dda4-46d9-adbf-74a9953dedeb

フォーラムが読みにくいので、ここで再現しました:

私はLSASSからこれらのBUNCHを取得していることに気付きました。 (約2時間で約17kです...イベントロガーが大量のI/Oを必要とする理由を理解できませんでした...(多くの失敗をログに記録していました)... SeTCBPrivが失敗しました。

私は「プロセスハッカー2」(procexpがMSによって制御されるようになった、プロセスエクスプローラーの最新バージョン)を使用しました(キツネたちに、鶏小屋でキツネを見るためのツールを所有させるようなものです!)。

次に、lsass(s​​amss)が実行に使用しているアカウントを確認できます(サービス内またはプロセスhacker2内-sourceforge.net、BTW)。

次に、管理ツールの[ローカルセキュリティポリシー]パネルを使用し、[ユーザー権利の割り当て]を確認すると、実行に必要なすべての特権を確認できます(サービスACLに記載されているとおり)(許可されていない場合) 、実行されないため、通常は問題ありません)。ただし、LSASSが実行されていたアカウントに、「オペレーティングシステムの一部として機能する」(信頼できるコンピューティングベース/ tcb)権限があることを確認してください。

同じことが他のサービスにも当てはまります-大量の監査が失敗します... ACLに必要な特権があることを確認してください(GUIなしで行うには信じられないほどわかりにくいもの...)。よくわからない場合は...ネットで調べて、プライバシーが必要かどうかを確認してください。MSによって署名および認証されている場合は、システムが正しく構成されていない可能性があります(少なくともそのサービスの観点から;-) )次に、必要な特権を付与するだけです-PH2でも優れた機能です。他のサービスの束でサービスを実行するかどうかに関するオプションをクリックするだけです。これまでのところ、バックグラウンドサービスからインタラクティブなもの(オーディオ/ビデオ/デスクトップ)を分割できるため、それらに効果的に優先順位を付けることができます。この最近の発見以前は、影響のないいくつかの以前のサービスの優先度を下げる方法はありません。オーディオおよび/またはデスクトップ...

とにかく、LSASSにtcb特権があることを確認した後、メッセージは消えました...

2
Mary