Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: С какого IP пытаются подобрать пароль?

Журнал событий безопасности забит парами событий:
сначала "Проверка учетных записей"
потом "Вход в систему"

К моему удивлению, среди кучи информации, показываемой для этих событий, нет данных об IP, с которого проверяют эти самые записи и пытаются войти в систему. Можно их как-то увидеть? И в чем причина сокрытия данных об IP, неужели windows видит, что некто ломится и не знает, откуда и на какой порт?
Ответ: имеется.
Вопрос: Какую тему подобрать для конферанса по теме кибербезопасность?

Помогите подобрать тему для конферанса по теме кибер безопасность
Ответ: А у самого какие мысли?
Вопрос: Как снять пароли с учётных записей?

 Комментарий модератора 
Перенесено из темы

Здравствуйте! Сегодня пытался скинуть пароль и админа и другого пользователя, и загружался с флешки и реестр прописывал, менял пароль с загрузочной флешки, но после перезагрузки никак не могу выйти на администратора, пароль неизвестен к сожалению... как можно в наглую просто убить этот пароль админа и вывести его при загрузке?? в безопасном тоже не катит(( что только не пробовал...
Ответ: так в том то и проблема, что комп не мой, хозяин забыл пароль от админа, а винду сносить не вариант, и не дает ничего установить((
Вопрос: Шара запрашивает сетевой пароль у доменного пользователя.

В организации 2 подразделения.
Так получилось что в каждом офисе свой Лес и домен.
Между офисами прокинут VPN туннель и настроен траст.
В головном офисе есть шара к которой нужен доступ из удаленного офиса.
Сетевой доступ к шаре - "Все" - "Чтение и Запись"
В "Безопасность" прописаны как и локальные права головного домена, так и локальные группы в которые уже входят группы из удаленного домена.

В результате, при доступе к шаре из доп.офиса у пользователей просит сетевой логин и пароль. Пользователь вводит свой лоин и пароль и получает доступ соответственно правилам на вкладке "Безопастность"

В принципе работает, чего бы жаловаться, но с какого хУдожника просит пароль ? Подскажите куда копать.
Ответ: Вот ещё вопрос нарисовался, обнаружил что если заходить на сервер по \\IP\ - заходит без пароля, а если по \\ServerName\ - как раз пароль спрашивает у пользователя домена, который и так имеет доступ через траст. Как такое может быть ?
Вопрос: Блокировка учетных записей

Добрый день.
Есть домен. Групповыми политиками задано: после 3 неудачных попыток учетка пользователя блокируется.
Внезапно началось массовое блокирование различных учеток домена. В логах контроллера домена вижу (событие 4776) вижу ПК (Source Workstation) с не типичным для нашей сети именем sa0775. Таких событий очень много, ПК один, а учетные записи разные. Т.е. что-то с этого ПК пытается подобрать пароль к учетным записям.

ПК с таким именем не пингуется, записи о нем нет ни в DHCP, ни в DNS. Как можно вычислить этот ПК?
Ответ: Спасибо. А другие способы есть? Может какой-нибудь аудит включить на контроллере домена?
Вопрос: Журнал Безопасность, аудит отказа - уточнить компьютер откуда была попытка

Доброе время суток. Имеется Windows Srv 2008 R2 std, КД, ДНС, DHCP, файловый сервер, Сервер 1С. В Журнале "Безопасность" выходят события с аудитом отказа - 4776, имена учеток постоянно меняются, при этом имя машины фигурирует сам сервер. Хочу уточнить: я правильно понимаю, что что-то пытается подобрать пароль и учетку, запускаясь непосредственно на сервере:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 27.12.2018 6:53:55
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: SRVR.ks.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: DOWNLOAD
Исходная рабочая станция:
Код ошибки: 0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2018-12-27T00:53:55.355391900Z" />
<EventRecordID>201273195</EventRecordID>
<Correlation />
<Execution ProcessID="792" ThreadID="25884" />
<Channel>Security</Channel>
<Computer>SRVR.ks.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">DOWNLOAD</Data>
<Data Name="Workstation">
</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
Ответ: У меня тоже выскакивают такие ошибки, никаких хвостов в Windows найти не смог. Поставил Wireshark. Дальше фильтрую трафик (tcp.dstport==3389) и смотрю левые ip-адреса с которых пытаются пройти на сервер. И блокирую их на шлюзе. В Wireshark нужно смотреть в момент попыток подключения левых юзеров.
..
Вопрос: Ошибка при сбросе пароля windows 7 (через командную строку)

Приветствую всех.
Сразу оговорюсь, что я обычный пользователь с минимальными знаниями. Просто я нигде не смог найти ответа который бы решил мою проблему.
На ноуте с windows 7 одна учетная запись (рабочий стол) названная кириллицей и пароль кириллический
Ноут давно не использовался- пароль потерян.
Проблема в следующем: Я пытался изменить пароль способом, который везде советуется в инете, через командную строку (с установочной флешки, через восстановление системы и замену c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe), но на последнем этапе, при вызове командной строки появляется в ней "Не удается найти текст сообщения с номером 0x2350 в файле сообщений Application" ниже "все права защищены... и т.д" а под этим "Не удается найти текст сообщения с номером 0x8 в файле System"
Когда ввожу Net User и т.д то появляется
Не найдено имя пользователя

пытался воспользоваться Offline Windows Password & Registry Editor
при запуске он пишет, что не может найти какое-то ядро или т.п
Ответ:
У меня имя пользователя был "Роман", проблем не возникло. Попробуйте все же включить учетку администратора и зайти под ней
спасибо большое, все помогло
Вопрос: Менеджеры паролей

Всем привет.
Подскажите какие существуют менеджеры паролей на подобии KeePass. Необходимы функции хранения паролей, автозаполнение при подключении по web, rdp, ssh.
Заранее спасибо
Ответ: 4UOnly
но без автозаполнения форм.
Вопрос: Централизованно сменить пароль локального админа

Всем привет!

Подскажите пожалуйста, как можно менее трудозатратно сменить пароль на локального администратора через GPO?

Как я понял в GPP они отключили эту фичу
Ответ: Скрипту, напрямую работающему с ADSI (с WinNT: провайдером, понятно) или Wbem, без разницы, в каком виде будет пароль, пусть хоть открытым текстом в коде. Закрытость его для пользователей осуществляется не шифрованием, а физической невозможностью доступа к этому коду.

Но, опять же, присмотритесь к рекомендованному коллегой Denis Dyagilev подходу. Мне, по крайней мере, нравится.
Вопрос: Посоветуйте хранитель паролей

Добрый день.
Возник вопрос - какой лучший хранитель паролей с работой с флехи + защита от кейлога?
Я вот предположил что такое ведь возможно, при запуске проги она начинает тупо миллион раз в секунду посылать какое-то количество неразборчивых символов нажатия клавы, в "невидимое поле", в итоге лог кейлога (уж извините) будет малопригоден для чтения.
Ответ: много лет успешно использовал эту программу, работая с ней с флэшки на разных системах, но теперь всегда при старте выдаёт "Неизвестный формат базы!" и не стартует ( то есть - до выбора файла с базой дело не доходит); (Windows 10 Pro Rus лицензионная). а на некоторых других компах - запускается нормально (даже в WmWare-11). Как это вылечить? задал несколько раз вопрос разработчику по эл.почте, но ответа так и нет.