4741(S): создана учетная запись компьютера.
Подкатегории: Аудит управления учетными записями компьютера
Описание события:
Это событие создает каждый раз при создании нового объекта компьютера.
Это событие создается только на контроллерах домена.
Примечание
Рекомендации см. в статье Рекомендации по мониторингу безопасности для этого события.
XML события:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4741</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13825</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-12T18:41:39.201898100Z" />
<EventRecordID>170254</EventRecordID>
<Correlation />
<Execution ProcessID="520" ThreadID="1096" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">WIN81$</Data>
<Data Name="TargetDomainName">CONTOSO</Data>
<Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6116</Data>
<Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="SubjectUserName">dadmin</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0xc88b2</Data>
<Data Name="PrivilegeList">-</Data>
<Data Name="SamAccountName">WIN81$</Data>
<Data Name="DisplayName">-</Data>
<Data Name="UserPrincipalName">-</Data>
<Data Name="HomeDirectory">-</Data>
<Data Name="HomePath">-</Data>
<Data Name="ScriptPath">-</Data>
<Data Name="ProfilePath">-</Data>
<Data Name="UserWorkstations">-</Data>
<Data Name="PasswordLastSet">8/12/2015 11:41:39 AM</Data>
<Data Name="AccountExpires">%%1794</Data>
<Data Name="PrimaryGroupId">515</Data>
<Data Name="AllowedToDelegateTo">-</Data>
<Data Name="OldUacValue">0x0</Data>
<Data Name="NewUacValue">0x80</Data>
<Data Name="UserAccountControl">%%2087</Data>
<Data Name="UserParameters">-</Data>
<Data Name="SidHistory">-</Data>
<Data Name="LogonHours">%%1793</Data>
<Data Name="DnsHostName">Win81.contoso.local</Data>
<Data Name="ServicePrincipalNames">HOST/Win81.contoso.local RestrictedKrbHost/Win81.contoso.local HOST/WIN81 RestrictedKrbHost/WIN81</Data>
</EventData>
</Event>
Обязательные роли сервера: Контроллер домена Active Directory.
Минимальная версия ОС: Windows Server 2008.
Версии события: 0.
Описания полей:
Тема:
- Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей операцию "create Computer object". Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Примечание
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая запрашивала операцию "создать объект компьютера".
Домен учетной записи [Type = UnicodeString]: доменное имя субъекта. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Новая учетная запись компьютера:
Идентификатор безопасности [Type = SID]: идентификатор безопасности созданной учетной записи компьютера. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Имя учетной записи [Type = UnicodeString]: имя созданной учетной записи компьютера. Например: WIN81$
Домен учетной записи [Type = UnicodeString]: доменное имя созданной учетной записи компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Атрибуты:
Имя учетной записи SAM [Type = UnicodeString]: имя входа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя входа до Windows 2000). Значение атрибута sAMAccountName нового объекта-компьютера. Например: WIN81$.
Отображаемое имя [Type = UnicodeString]: значение атрибута displayName нового объекта компьютера. Это имя, отображаемое в адресной книге для определенной учетной записи (обычно — учетная запись пользователя). Обычно это сочетание имени пользователя, среднего инициала и фамилии. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Имя участника-пользователя [Type = UnicodeString]: имя входа в интернет-стиле для учетной записи, основанное на стандарте ИНТЕРНЕТА RFC 822. По соглашению это должно сопоставляться с именем электронной почты учетной записи. Этот параметр содержит значение атрибута userPrincipalName нового объекта компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Домашний каталог [Type = UnicodeString]: домашний каталог пользователя. Если атрибут homeDrive задан и указывает букву диска, homeDirectory должен быть UNC-путь. Путь должен быть сетевым UNC-адресом в формате \\Server\Share\Directory. Этот параметр содержит значение атрибута homeDirectory нового объекта компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Home Drive [Type = UnicodeString]: указывает букву диска, с которой сопоставляется UNC-путь, заданный атрибутом учетной записи homeDirectory . Буква диска должна быть указана в формате
DRIVE\_LETTER:. Например , —H:. Этот параметр содержит значение атрибута homeDrive нового объекта компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как-.Путь к скрипту [Type = UnicodeString]: указывает путь к скрипту входа в учетную запись. Этот параметр содержит значение атрибута scriptPath нового объекта-компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Путь к профилю [Type = UnicodeString]: указывает путь к профилю учетной записи. Это значение может быть пустой строкой, локальным абсолютным путем или UNC-путем. Этот параметр содержит значение атрибута profilePath нового объекта-компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Пользовательские рабочие станции [Type = UnicodeString]: содержит список NetBIOS или DNS-имен компьютеров, с которых пользователь может выполнить вход. Каждое имя компьютера отделяется запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. Этот параметр содержит значение атрибута userWorkstations нового объекта компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Последний набор пароля [Type = UnicodeString]: время последнего изменения пароля учетной записи. Для созданной вручную учетной записи компьютера с помощью оснастки Пользователи и компьютеры Active Directory это поле обычно имеет значение
<never>. Для учетной записи компьютера, созданной во время стандартной процедуры присоединения к домену, это поле будет содержать время создания объекта компьютера, так как пароль создается во время процедуры присоединения к домену. Например: 12.08.2015 11:41:39. Этот параметр содержит значение атрибута pwdLastSet нового объекта-компьютера.Срок действия учетной записи [Type = UnicodeString]: дата истечения срока действия учетной записи. Этот параметр содержит значение атрибута accountExpires нового объекта компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Идентификатор первичной группы [Type = UnicodeString]: относительный идентификатор (RID) первичной группы объектов компьютера.
Примечание
Относительный идентификатор (RID) — это номер переменной длины, который назначается объектам при создании и становится частью идентификатора безопасности (SID) объекта, который однозначно идентифицирует учетную запись или группу в домене.
Как правило, поле "Основная группа" для новых учетных записей компьютеров имеет следующие значения:
516 (контроллеры домена) — для контроллеров домена.
521 (контроллеры домена только для чтения) — для контроллеров домена только для чтения (RODC).
515 (компьютеры домена) — для рядовых серверов и рабочих станций.
Дополнительные сведения см. в разделе Известные субъекты безопасности . Этот параметр содержит значение атрибута primaryGroupID нового объекта компьютера.
- AllowedToDelegateTo [Type = UnicodeString]: список имен субъектов-служб, которым эта учетная запись может предоставить делегированные учетные данные. Можно изменить с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Делегирование учетной записи компьютера. Как правило, для новых объектов-компьютеров ему присваивается значение
-. Этот параметр содержит значение атрибута AllowedToDelegateTo нового объекта компьютера. Дополнительные сведения см. в описании поля AllowedToDelegateTo для события "4742: учетная запись компьютера была изменена".
Примечание
Имя субъекта-службы — это имя, по которому клиент однозначно идентифицирует экземпляр службы. При установке нескольких экземпляров службы на компьютерах в лесу каждый экземпляр должен иметь собственное имя субъекта-службы. При наличии нескольких имен, которые клиенты могут использовать для проверки подлинности, у данного экземпляра службы может быть несколько имен. Например, имя субъекта-службы всегда включает имя главного компьютера, на котором запущен экземпляр службы, поэтому экземпляр службы может зарегистрировать имя субъекта-службы для каждого имени или псевдонима своего узла.
Старое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением или включением, скриптом и другим поведением для учетной записи пользователя или компьютера. Старое значение UAC всегда
0x0для новых учетных записей компьютеров. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта computer.Новое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением или включением, скриптом и другим поведением для учетной записи пользователя или компьютера. Этот параметр содержит значение атрибута userAccountControl нового объекта компьютера.
Чтобы декодировать это значение, можно просмотреть определения значений свойств в таблице 7. Флаги контроля учетных записей пользователя или компьютера". от самого большого к самому маленькому. Сравните каждое значение свойства со значением флагов в событии. Если значение флагов в событии больше или равно значению свойства, то свойство имеет значение set и применяется к событию. Вычитайте значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу.
Вот пример: Flags value from event: 0x15
Декодирования:
• PASSWD_NOTREQD 0x0020
• блокировка 0x0010
• HOMEDIR_REQUIRED 0x0008
• (необъявленное) 0x0004
• УЧЕТНАЯ 0X0002
• СКРИПТ 0x0001
> 0x0020 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию
< 0x10 0x15, поэтому к этому событию применяется LOCKOUT. 0x15 — 0x10 = 0x5
< 0x4 0x5, поэтому задано необъявленное значение. Мы сделаем вид, что это ничего не значит. 0x5 — 0x4 = 0x1
> 0x2 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию
0x1 = 0x1, поэтому SCRIPT применяется к этому событию. 0x1 - 0x1 = 0x0, мы закончили.
Таким образом, этот контроль учетных записей помечает декодирование значений в: LOCKOUT и SCRIPT.
- Контроль учетных записей пользователей [Type = UnicodeString]: отображает список изменений в атрибуте userAccountControl . Для каждого изменения будет отображаться строка текста. Для новых учетных записей компьютеров при создании объекта для этой учетной записи значение userAccountControl считалось
0x0значением , а затем было изменено с0x0на реальное значение атрибута userAccountControl учетной записи. См. возможные значения в таблице ниже. В столбце "Текст поля контроля учетных записей пользователей" вы увидите текст, который будет отображаться в поле Контроль учетных записей пользователей в событии 4741.
| Имя флага | userAccountControl в шестнадцатеричном формате | userAccountControl в десятичном формате | Описание | Текст поля "Контроль учетных записей пользователей" |
|---|---|---|---|---|
| СЦЕНАРИЙ | 0x0001 | 1 | Будет запущен скрипт входа. | Изменения этого флага не отображаются в событиях 4741. |
| ACCOUNTDISABLE | 0x0002 | 2 | Учетная запись пользователя отключена. | Учетная запись отключена Учетная запись включена |
| Необъявленные | 0x0004 | 4 | Этот флаг не объявлен. | Изменения этого флага не отображаются в событиях 4741. |
| HOMEDIR_REQUIRED | 0x0008 | 8 | Домашняя папка является обязательной. | "Требуется домашний каталог" — включено "Требуется домашний каталог" — отключено |
| БЛОКИРОВКИ | 0x0010 | 16 | Изменения этого флага не отображаются в событиях 4741. | |
| PASSWD_NOTREQD | 0x0020 | 32 | Пароль не требуется. | "Пароль не требуется" — включено "Пароль не требуется" — отключено |
| PASSWD_CANT_CHANGE | 0x0040 | 64 | Пользователь не может изменить пароль. Это разрешение на объект пользователя. | Изменения этого флага не отображаются в событиях 4741. |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 | Пользователь может отправить зашифрованный пароль. Можно установить флажок "Хранить пароль с помощью обратимого шифрования". |
"Разрешено использование пароля для зашифрованного текста" — отключено "Разрешен пароль зашифрованного текста" — включено |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 | Это учетная запись для пользователей, основная учетная запись которых находится в другом домене. Эта учетная запись предоставляет пользователю доступ к этому домену, но не к любому домену, который доверяет этому домену. Иногда это называется локальной учетной записью пользователя. | Невозможно задать для учетной записи компьютера. |
| NORMAL_ACCOUNT | 0x0200 | 512 | Это тип учетной записи по умолчанию, представляющий типичного пользователя. | "Обычная учетная запись" — отключено "Обычная учетная запись" — включено |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 | Это разрешение на доверие учетной записи для системного домена, который доверяет другим доменам. | Невозможно задать для учетной записи компьютера. |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 | Это учетная запись компьютера под управлением Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional или Windows 2000 Server и является членом этого домена. | "Учетная запись доверия рабочей станции" — отключено "Учетная запись доверия рабочей станции" — включено |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 | Это учетная запись компьютера для контроллера домена, который является членом этого домена. | "Учетная запись доверия сервера" — включено "Учетная запись доверия сервера" — отключено |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 | Представляет пароль, срок действия которого не должен истекать для учетной записи. Можно установить флажок "Срок действия пароля не истекает". |
"Не истекает срок действия пароля" — отключено "Не истекает пароль" — включено |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 | Это учетная запись для входа в MNS. | "Учетная запись входа в MNS" — отключено Учетная запись входа в MNS — включено |
| СМАРТ-КАРТА_REQUIRED | 0x40000 | 262144 | Если этот флаг установлен, пользователь будет входить в систему с помощью смарт-карты. | "Требуется смарт-карта" — отключено "Требуется смарт-карта" — включено |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 | Если этот флаг установлен, учетная запись службы (учетная запись пользователя или компьютера), под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу. Чтобы включить службу для делегирования Kerberos, необходимо установить этот флаг для свойства userAccountControl учетной записи службы. Если включить ограничение Kerberos или отменить делегирование или отключить эти типы делегирования на вкладке Делегирование, этот флаг будет изменен. |
"Доверенный для делегирования" — включено "Доверенный для делегирования" — отключено |
| NOT_DELEGATED | 0x100000 | 1048576 | Если этот флаг установлен, контекст безопасности пользователя не делегируется службе, даже если учетная запись службы является доверенной для делегирования Kerberos. Можно установить с помощью флажка "Учетная запись является конфиденциальной и не может быть делегирована". |
"Не делегировано" — отключено "Не делегировано" — включено |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 | Ограничьте этот субъект, чтобы использовать для ключей только стандартные типы шифрования данных (DES). Можно установить флажок "Использовать типы шифрования Kerberos DES для этой учетной записи". |
"Использовать только ключ DES" — отключено "Использовать только ключ DES" — включено |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 | Для входа в эту учетную запись не требуется предварительная проверка подлинности Kerberos. Можно установить с помощью флажка "Не требовать предварительной проверки подлинности Kerberos". |
"Не требовать предварительную проверку подлинности" — отключено "Не требовать предварительную проверку подлинности" — включено |
| PASSWORD_EXPIRED | 0x800000 | 8388608 | Срок действия пароля пользователя истек. | Изменения этого флага не отображаются в событиях 4741. |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 | Учетная запись включена для делегирования. Это параметр с учетом безопасности. Учетные записи, для которых включен этот параметр, должны строго контролироваться. Этот параметр позволяет службе, которая работает под учетной записью, предполагать удостоверение клиента и проходить проверку подлинности от имени этого пользователя на других удаленных серверах в сети. Если включить делегирование по протоколу Kerberos или отключить этот тип делегирования на вкладке Делегирование, этот флаг будет изменен. |
"Доверенный для проверки подлинности для делегирования" — отключено "Доверенный для проверки подлинности для делегирования" — включено |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 | Учетная запись является контроллером домена только для чтения (RODC). Это параметр с учетом безопасности. Удаление этого параметра из RODC ставит под угрозу безопасность на этом сервере. | Нет сведений. |
Таблица 7. Флаги контроля учетных записей пользователя или компьютера.
Параметры пользователя [Type = UnicodeString]: если изменить какой-либо параметр с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Dial-in свойств учетной записи компьютера, в этом поле появится
<value changed, but not displayed>сообщение "4742(S): учетная запись компьютера была изменена". Этот параметр может не быть записан в событии и в этом случае отображается как-.Журнал SID [Type = UnicodeString]: содержит предыдущие идентификаторы БЕЗОПАСНОСТИ, используемые для объекта, если объект был перемещен из другого домена. При перемещении объекта из одного домена в другой создается новый идентификатор безопасности, который становится objectSID. Предыдущий идентификатор безопасности добавляется в свойство sIDHistory . Этот параметр содержит значение атрибута sIDHistory нового объекта компьютера. Этот параметр может не быть записан в событии и в этом случае отображается как
-.Часы входа [Type = UnicodeString]: часы, в которые учетной записи разрешен вход в домен. Значение атрибута logonHours нового объекта-компьютера. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Вы увидите
<value not set>значение для новых созданных учетных записей компьютеров в событии 4741.Dns Host Name [Type = UnicodeString]: имя учетной записи компьютера, зарегистрированной в DNS. Значение атрибута dNSHostName нового объекта компьютера. Для объектов учетных записей компьютера, созданных вручную, это поле имеет значение
-.Имена субъектов-служб [Type = UnicodeString]: список имен субъектов-служб, зарегистрированных для учетной записи компьютера. Для новых учетных записей компьютеров они обычно содержат имена субъектов-служб HOST и RestrictedKrbHost. Значение атрибута servicePrincipalName нового объекта-компьютера. Для созданных вручную объектов-компьютеров обычно имеет значение
-. Ниже приведен пример поля "Имена субъектов-служб " для новой присоединенной к домену рабочей станции:HOST/Win81.contoso.local
RestrictedKrbHost/Win81.contoso.local
HOST/WIN81
RestrictedKrbHost/WIN81
Дополнительные сведения:
- Privileges [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть записан в событии и в этом случае отображается как
-. Полный список привилегий пользователей см. в таблице ниже:
| Имя привилегии | Имя групповая политика прав пользователя | Описание |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | Замена маркера уровня процесса | Требуется для назначения основного маркера процесса. С помощью этой привилегии пользователь может инициировать процесс замены маркера по умолчанию, связанного с запущенным подпроцессом. |
| SeAuditPrivilege | Создание аудитов безопасности | С помощью этой привилегии пользователь может добавлять записи в журнал безопасности. |
| SeBackupPrivilege | Архивация файлов и каталогов | — требуется для выполнения операций резервного копирования. С помощью этой привилегии пользователь может обходить разрешения файлов и каталогов, реестра и других постоянных объектов для резервного копирования системы. Эта привилегия заставляет систему предоставлять доступ к любому файлу, независимо от списка управления доступом (ACL), указанного для файла. Любой запрос на доступ, отличный от чтения, по-прежнему оценивается с помощью ACL. При наличии этой привилегии предоставляются следующие права доступа: READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE |
| SeChangeNotifyPrivilege | Обход перекрестной проверки | Требуется для получения уведомлений об изменениях в файлах или каталогах. Эта привилегия также заставляет систему пропускать все проверки доступа обхода. С этой привилегией пользователь может перемещаться по деревьям каталогов, даже если у пользователя могут не быть разрешений на пройденный каталог. Эта привилегия не позволяет пользователю выводить список содержимого каталога, только для обхода каталогов. |
| SeCreateGlobalPrivilege | Создание глобальных объектов | Требуется для создания именованных объектов сопоставления файлов в глобальном пространстве имен во время сеансов служб терминалов. |
| SeCreatePagefilePrivilege | Создание файла подкачки | С помощью этой привилегии пользователь может создавать и изменять размер файла подкачки. |
| SeCreatePermanentPrivilege | Создание постоянных общих объектов | Требуется для создания постоянного объекта. Эта привилегия полезна для компонентов режима ядра, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, уже имеют эту привилегию по своей природе; Не обязательно назначать им привилегию. |
| SeCreateSymbolicLinkPrivilege | Создание символических ссылок | Требуется для создания символьной ссылки. |
| SeCreateTokenPrivilege | Создание маркерного объекта | Позволяет процессу создать маркер, который затем он может использовать для получения доступа к любым локальным ресурсам, когда процесс использует NtCreateToken() или другие API создания маркеров. Если для процесса требуется эта привилегия, рекомендуется использовать учетную запись LocalSystem (которая уже включает эту привилегию), а не создавать отдельную учетную запись пользователя и назначать ей эту привилегию. |
| SeDebugPrivilege | Отладка программ | Требуется для отладки и настройки памяти процесса, принадлежащей другой учетной записи. С этой привилегией пользователь может подключить отладчик к любому процессу или ядру. Разработчикам, которые выполняют отладку собственных приложений, это право пользователя не требуется. Разработчики, которые выполняют отладку новых системных компонентов, нуждаются в этом праве пользователя. Это право пользователя обеспечивает полный доступ к конфиденциальным и критически важным компонентам операционной системы. |
| SeEnableDelegationPrivilege | Разрешение доверия к учетным записям компьютеров и пользователей при делегировании | Требуется для пометки учетных записей пользователей и компьютеров как доверенных для делегирования. С этой привилегией пользователь может задать параметр Trusted for Делегирование для объекта пользователя или компьютера. Пользователь или объект, которому предоставлена эта привилегия, должен иметь доступ на запись к флагам управления учетными записями на объекте пользователя или компьютера. Серверный процесс, выполняющийся на компьютере (или в контексте пользователя), который является доверенным для делегирования, может получить доступ к ресурсам на другом компьютере с помощью делегированных учетных данных клиента до тех пор, пока для учетной записи клиента не установлен флаг управления учетной записью . |
| SeImpersonatePrivilege | Имитация клиента после проверки подлинности | С помощью этой привилегии пользователь может олицетворять другие учетные записи. |
| SeIncreaseBasePriorityPrivilege | Увеличение приоритета выполнения | Требуется для увеличения базового приоритета процесса. С этой привилегией пользователь может использовать процесс с доступом к свойству Write для другого процесса, чтобы увеличить приоритет выполнения, назначенный другому процессу. Пользователь с этой привилегией может изменить приоритет планирования процесса с помощью пользовательского интерфейса диспетчера задач. |
| SeIncreaseQuotaPrivilege | Настройка квот памяти для процесса | Требуется для увеличения квоты, назначенной процессу. С помощью этой привилегии пользователь может изменить максимальный объем памяти, который может быть использован процессом. |
| SeIncreaseWorkingSetPrivilege | Увеличение рабочего набора процесса | Требуется для выделения большего объема памяти для приложений, которые выполняются в контексте пользователей. |
| SeLoadDriverPrivilege | Загрузка и выгрузка драйверов устройств | Требуется для загрузки или выгрузки драйвера устройства. С помощью этой привилегии пользователь может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. |
| SeLockMemoryPrivilege | Блокировка страниц в памяти | Требуется для блокировки физических страниц в памяти. С этой привилегией пользователь может использовать процесс для хранения данных в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске. Использование этой привилегии может значительно повлиять на производительность системы, уменьшая объем доступной памяти случайного доступа (ОЗУ). |
| SeMachineAccountPrivilege | Добавление рабочих станций к домену | С помощью этой привилегии пользователь может создать учетную запись компьютера. Эта привилегия действительна только на контроллерах домена. |
| SeManageVolumePrivilege | Выполнение задач по обслуживанию томов | Требуется для выполнения задач обслуживания на томе, например удаленной дефрагментации. |
| SeProfileSingleProcessPrivilege | Профилирование одного процесса | Требуется для сбора сведений профилирования для одного процесса. С этой привилегией пользователь может использовать средства мониторинга производительности для мониторинга производительности несистемных процессов. |
| SeRelabelPrivilege | Изменение метки объекта | Требуется для изменения обязательного уровня целостности объекта. |
| SeRemoteShutdownPrivilege | Принудительное удаленное завершение работы | Требуется для завершения работы системы с помощью сетевого запроса. |
| SeRestorePrivilege | Восстановление файлов и каталогов | Требуется для выполнения операций восстановления. Эта привилегия заставляет систему предоставлять полный контроль доступа к любому файлу, независимо от списка ACL, указанного для файла. Любой запрос на доступ, отличный от записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет задать любой допустимый идентификатор безопасности пользователя или группы в качестве владельца файла. При наличии этой привилегии предоставляются следующие права доступа: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY DELETE С помощью этой привилегии пользователь может обходить разрешения файлов, каталогов, реестра и других постоянных объектов при восстановлении резервных копий файлов и каталогов и определяет, какие пользователи могут задать любого допустимого субъекта безопасности в качестве владельца объекта. |
| SeSecurityPrivilege | Управление журналом аудита и безопасности | Требуется для выполнения ряда связанных с безопасностью функций, таких как контроль и просмотр событий аудита в журнале событий безопасности. С помощью этой привилегии пользователь может указать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности. |
| SeShutdownPrivilege | Завершение работы системы | Требуется для завершения работы локальной системы. |
| SeSyncAgentPrivilege | Синхронизация данных службы каталогов | Эта привилегия позволяет владельцу считывать все объекты и свойства в каталоге независимо от защиты объектов и свойств. По умолчанию он назначается учетным записям администратора и LocalSystem на контроллерах домена. С помощью этой привилегии пользователь может синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory. |
| SeSystemEnvironmentPrivilege | Изменение параметров среды изготовителя | Требуется для изменения неизменяемого ОЗУ систем, которые используют этот тип памяти для хранения сведений о конфигурации. |
| SeSystemProfilePrivilege | Профилирование производительности системы | Требуется для сбора сведений профилирования для всей системы. С этой привилегией пользователь может использовать средства мониторинга производительности для мониторинга производительности системных процессов. |
| SeSystemtimePrivilege | Изменение системного времени | Требуется для изменения системного времени. С помощью этой привилегии пользователь может изменить время и дату на внутренних часах компьютера. Пользователи, которым назначено это право, могут повлиять на внешний вид журналов событий. Если системное время изменено, регистрируемые события будут отражать это новое время, а не фактическое время возникновения событий. |
| SeTakeOwnershipPrivilege | Смена владельцев файлов и других объектов | Требуется для владения объектом без предоставления дискреционного доступа. Эта привилегия позволяет задать значение владельца только для тех значений, которые владелец может законно назначить владельцем объекта. С этой привилегией пользователь может владеть любым защищаемым объектом в системе, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки. |
| SeTcbPrivilege | Работа в режиме операционной системы | Эта привилегия определяет своего владельца как часть базы доверенного компьютера. Это право пользователя позволяет процессу олицетворить любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. |
| SeTimeZonePrivilege | Изменение часового пояса | Требуется для настройки часового пояса, связанного с внутренними часами компьютера. |
| SeTrustedCredManAccessPrivilege | Доступ к диспетчеру учетных данных от имени доверенного вызывающего | Требуется для доступа к Диспетчеру учетных данных в качестве доверенного вызывающего. |
| SeUndockPrivilege | Отключение компьютера от стыковочного узла | Требуется для отстыковки ноутбука. С помощью этой привилегии пользователь может открепить портативный компьютер от док-станции без входа в систему. |
| SeUnsolicitedInputPrivilege | Неприменимо | Требуется для чтения незапрошенных входных данных с устройства терминала . |
Таблица 8. Права пользователя.
Рекомендации по контролю безопасности
Для 4741(S): создана учетная запись компьютера.
Важно!
Сведения об этом событии также см. в приложении A. Рекомендации по мониторингу безопасности для многих событий аудита.
Если политика мониторинга информационной безопасности требует отслеживать создание учетной записи компьютера, отслеживайте это событие.
Определите, следует ли отслеживать следующие поля и значения:
| Отслеживаемое поле и значение | Причины для отслеживания |
|---|---|
Имя учетной записи SAM: пустое или - |
Это поле должно содержать имя учетной записи компьютера. Если он пуст или -, это может указывать на аномалию. |
| Отображаемое имя не является . Имя участника-пользователя не имеет значения . Домашний каталог не является . Домашний диск не является - Путь к скрипту не является . Путь к профилю не является . Пользовательские рабочие станции не являются . AllowedToDelegateTo не имеет значение . |
Обычно эти поля предназначены - для новых учетных записей компьютеров. Другие значения могут указывать на аномалию, и ее следует отслеживать. |
Последний набор пароля — <never> |
Обычно это означает, что это созданная вручную учетная запись компьютера, которую может потребоваться отслеживать. |
Срок действия учетной записи не истекает <never> |
Обычно это поле предназначено <never> для новых учетных записей компьютеров. Другие значения могут указывать на аномалию, и ее следует отслеживать. |
| Идентификатор основной группы — это любое значение, отличное от 515. | Как правило, значение идентификатора основной группы имеет одно из следующих значений: 516 для контроллеров домена 521 для контроллеров домена только для чтения (RODC) 515 для серверов и рабочих станций (компьютеры домена) Если идентификатор основной группы — 516 или 521, это новый контроллер домена или RODC, и событие должно отслеживаться. Если значение не равно 516, 521 или 515, оно не является типичным и должно отслеживаться. |
| Старое значение UAC не 0x0 | Обычно это поле 0x0 для новых учетных записей компьютеров. Другие значения могут указывать на аномалию, и ее следует отслеживать. |
Журнал идентификаторов безопасности не является - |
Для этого поля всегда будет задано значение , если только учетная запись не была перенесена из другого домена. |
Значение "Часы входа", отличное от <value not set> |
Это всегда должно быть <value not set> для новых учетных записей компьютеров. |
- Определите, следует ли отслеживать следующие флаги контроля учетных записей:
| Флаг контроля учетных записей пользователей для отслеживания | Сведения о флаге |
|---|---|
| "Разрешен пароль для зашифрованного текста" — включено | Не следует задавать для учетных записей компьютеров. По умолчанию он не будет задан и не может быть задан в свойствах учетной записи в Пользователи и компьютеры Active Directory. |
| "Учетная запись доверия сервера" — включено | Должен быть включен только для контроллеров домена. |
| "Не истекает срок действия пароля" — включено | Не следует включать для новых учетных записей компьютеров, так как пароль автоматически изменяется каждые 30 дней по умолчанию. Для учетных записей компьютеров этот флаг нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory. |
| "Требуется смарт-карта" — включено | Не должен быть включен для новых учетных записей компьютеров. |
| "Доверенный для делегирования" — включено | Не должен быть включен для новых рядовых серверов и рабочих станций. Он включен по умолчанию для новых контроллеров домена. |
| "Не делегировано" — включено | Не должен быть включен для новых учетных записей компьютеров. |
| "Использовать только ключ DES" — включено | Не должен быть включен для новых учетных записей компьютеров. Для учетных записей компьютеров его нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory. |
| "Не требовать предварительную проверку подлинности" — включено | Не должен быть включен для новых учетных записей компьютеров. Для учетных записей компьютеров его нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory. |
| "Доверенный для проверки подлинности для делегирования" — включен | Не должен быть включен для новых учетных записей компьютеров по умолчанию. |
Обратная связь
Отправить и просмотреть отзыв по