No Image

Попытка запроса существования пустого пароля

СОДЕРЖАНИЕ
35 просмотров
11 марта 2020

Если вы настолько доверяете другим пользователям своей локальной сети и не ставите пароль на свой компьютер, то при попытке зайти по этой же сети на другой ПК вы наверняка получите уведомление «Ошибка ограниченного использования учетной записи пользователя» . В окошке с уведомлением помимо прочего будет указана возможная причина ошибки, а именно использование пустых паролей или наличие ограничений в локальных групповых политиках.

С аналогичной ошибкой вам придётся столкнуться при создании задачи для всех пользователей в Планировщике заданий.

Устранить эту ошибку проще простого, достаточно установить пароль для учётной записи администратора, но как быть, если вы хотите по-прежнему не использовать пароль для своей учётки? Решение тоже очень простое. Если вы работаете в Windows Pro или выше, задать нужную конфигурацию можно будет в редакторе локальных групповых политик, в домашней версии то же самое можно сделать через редактор реестра.

Откройте командой gpedit.msc редактор локальных групповых политик и перейдите по цепочке Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. В правой колонке отыщите политику «Учетные записи: разрешить использования пустых паролей только при консольном входе».

Дважды кликните по ней и установите радиокнопку в положение «Отключено».

Сохраните настройки. Они должны вступить в силу сразу же.

Точно такой же результат вы получите, воспользовавшись редактором реестра.

Откройте его командой regedit и перейдите по пути:

На рабочем столе Windows 8.1 я вижу много подобных сообщений lsass.exe в журнале аудита программы просмотра событий:

Это происходит раз в то время в течение нескольких различных целевых имен учетных записей, как Administrator , Guest , HomeGroupUser$ и т.д. Это сообщение появляется на определенные промежутки времени независимо от того, если я подключен к Интернету или нет.

Чтобы убедиться в том, что за этим нет злонамеренных намерений, я провел проверку на вирусы с помощью Malwarebytes, Trend Micro и AVG, которые все были согласны с тем, что система на самом деле была чистой.

Затем я переустановил чистую систему; сообщения все еще появлялись через некоторое время.

Кажется, не имеет значения, подключена ли система к сети или нет; эти сообщения появляются даже при отключенном сетевом кабеле. (Возможно, это не так странно, учитывая, что он работает как S-1-5-19 «Локальная служба».)

Как ни странно, в Интернете, кажется, есть много других, кто сталкивался с этой самой проблемой, но темы и вопросы там остаются без ответа.

Читайте также:  La 8861p переделка в uma

Каково происхождение этих сообщений и почему постоянно проверяются пустые пароли?

Вот вывод auditpol :

    Популярные

  • Новые
  • С комментариями
  • Активные

This is normal, don’t panic.

One of these events is logged for each local account when one of these two things happens:

The user tile on the Start screen is pressed to get the dropdown of account-related options:

In this case, the Subject is the currently logged-in user (me, in the above screenshot). The events are logged even on domain-joined machines where no local accounts appear in the resulting menu.

  • The logon UI appears to show the list of local users that can be signed into. In this case, the Subject is NT AUTHORITYLOCAL SERVICE . The events are not logged on domain-joined machines where only a username and password are entered.
  • As for what the event means, it’s what it says on the tin – an application running as the Subject tested for a blank password on the account specified by the Target Account Name. Windows does that so that it doesn’t need to prompt users for passwords they don’t have; it would be confusing for some people to see a password box before they sign in when they have no password.

    Windows shouldn’t need to do that check until the user clicks on one of the other users on the logon screen or in the switch list, but it does.

    Security audits

    Security auditing is a powerful tool to help maintain the security of an enterprise. Auditing can be used for a variety of purposes, including forensic analysis, regulatory compliance, monitoring user activity, and troubleshooting.

    You can use Windows security and system logs to create a security events tracking system, to record and store network activities that are associated with potentially harmful behaviors, and to mitigate those risks.

    Security audits are divided into different categories, such as registry and file system access, failed logon attempts, and user accounts changes. Certain categories are enabled by default. To get a list of the available ones you can run the following command from an elevated command prompt:

    Event 4797

    Here’s what a typical event looks like:

    Читайте также:  Методы защиты от хакерских атак

    As you can see, the category is User Account Management, which generates audit events related to user accounts. Unlike others, this specific event doesn’t seem to be documented.

    Disable all audit policies

    To confirm whether the built-in security auditing feature is the culprit, you can temporarily clear all audit policies, thus disabling them.

    Open an elevated command prompt.

    Make a backup of the audit policies by running this command:

    Ensure the file was saved correctly. It should be located on the desktop. In case it’s not, pick a different file path and try again.

    Disable all audit policies:

    Restart Windows, and check whether you’re still getting the same events. To restore the policy backup you created earlier, run this command:

    На моем рабочем столе Windows 8.1 я вижу много сообщений, подобных этому из lsass.exe в журнале аудита Event Viewer:

    Это происходит раз в несколько разных имен целевой учетной записи, таких как Administrator , Guest , HomeGroupUser$ и т. д. Это сообщение появляется через определенные промежутки времени независимо от того, подключен ли я к Интернету или нет.

    Чтобы убедиться в отсутствии злонамеренных намерений, я проверил проверку вируса с помощью Malwarebytes, Trend Micro и AVG, которые все согласны с тем, что система на самом деле была чистой.

    Затем я снова установил чистую систему; сообщения через некоторое время снова появлялись.

    Кажется, не имеет значения, подключена ли система к сети или нет; эти сообщения появляются даже при отключенном сетевом кабеле. (Возможно, не так странно, учитывая, что он работает как S-1-5-19 «Локальная служба».)

    Как ни странно, в Интернете, похоже, много других, столкнувшихся с этой проблемой, но темы и вопросы остаются без ответа.

    Каково происхождение этих сообщений и почему существует постоянное сканирование пустых паролей?

    Вот результат auditpol :

    4 ответа

    Это нормально, не паникуйте.

    Одно из этих событий регистрируется для каждой локальной учетной записи, когда происходит одна из этих двух событий:

    Пользовательский фрагмент на экране «Пуск» нажат, чтобы просмотреть раскрывающиеся параметры учетной записи:

    В этом случае Subject является пользователем, который в настоящий момент вошел в систему (я, в приведенном выше снимке экрана). События регистрируются даже на компьютерах, подключенных к домену, где локальные учетные записи не отображаются в результирующем меню.

  • Пользовательский интерфейс входа в систему отображает список локальных пользователей, которые могут быть подписаны. В этом случае объект NT AUTHORITYLOCAL SERVICE . События не регистрируются на компьютерах, подключенных к домену, где вводятся только имя пользователя и пароль.
  • Читайте также:  Kali linux for android

    Что касается события, это то, что он говорит в олове – приложение, запущенное как объект, проверенный на пустой пароль в учетной записи, указанной в названии целевой учетной записи. Windows делает это так, что ему не нужно запрашивать у пользователей пароли, которых у них нет; для некоторых людей было бы странно видеть окно с паролем, прежде чем они войдут в систему, когда у них нет пароля.

    Windows не должна выполнять эту проверку до тех пор, пока пользователь не нажмет на одного из других пользователей на экране входа в систему или в списке коммутаторов, но это произойдет.

    Security auditing is a powerful tool to help maintain the security of an enterprise. Auditing can be used for a variety of purposes, including forensic analysis, regulatory compliance, monitoring user activity, and troubleshooting.

    You can use Windows security and system logs to create a security events tracking system, to record and store network activities that are associated with potentially harmful behaviors, and to mitigate those risks.

    Аудиты безопасности делятся на разные категории, такие как доступ к реестру и файловой системе, неудачные попытки входа в систему и изменения учетных записей пользователей. По умолчанию определенные категории включены. Чтобы получить список доступных, вы можете запустить следующую команду из повышенная командная строка :

    Событие 4797

    Вот как выглядит типичное событие:

    Как вы можете видеть, категория Управление учетными записями пользователей , которая генерирует связанные с аудитом события для учетных записей пользователей. В отличие от других, это конкретное событие, похоже, не документировано.

    Отключить все политики аудита

    Чтобы подтвердить, является ли встроенная функция аудита безопасности виновником, вы можете временно очистить все политики аудита, тем самым отключив их.

    Откройте командную строку с повышенными правами.

    Сделайте резервную копию политик аудита, выполнив следующую команду:

    Убедитесь, что файл сохранен правильно. Он должен располагаться на рабочем столе. Если это не так, выберите другой путь к файлу и повторите попытку.

    Отключить все политики аудита:

    Перезагрузите Windows и проверьте, все ли вы получаете те же самые события. Чтобы восстановить резервную копию политики, созданную ранее, выполните следующую команду:

    Комментировать
    35 просмотров
    Комментариев нет, будьте первым кто его оставит

    Это интересно
    Adblock detector