lsass.exe在我的 Windows 8.1 桌面上,我在事件查看器的审核日志中看到很多类似的消息:
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation: PETTER
Target Account Name: Administrator
Target Account Domain: PETTER
它会不时地针对几个不同的目标帐户名称出现,例如Administrator,,,等等。无论我是否连接到互联网,此消息都会按照一定间隔出现Guest。HomeGroupUser$
为了确保这背后没有恶意,我使用 Malwarebytes、Trend Micro 和 AVG 进行了病毒检查,它们都一致认为系统实际上是干净的。
然后我重新安装了一个干净的系统;一段时间后这些消息仍然再次出现。
系统是否连接到网络似乎并不重要;即使拔掉了网线,也会出现这些消息。(考虑到它是作为S-1-5-19“本地服务”运行的,这可能并不奇怪。)
奇怪的是,在互联网上,似乎有很多人遇到过这个问题,但那里的帖子和问题仍然没有得到解答。
这些消息的来源是什么?为什么要不断扫描空密码?
以下是输出auditpol:
C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.
C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory Setting
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Logon/Logoff
Logon Success
Logoff Success
Account Lockout Success
IPsec Main Mode No Auditing
IPsec Quick Mode No Auditing
IPsec Extended Mode No Auditing
Special Logon Success
Other Logon/Logoff Events No Auditing
Network Policy Server Success and Failure
User / Device Claims No Auditing
Object Access
File System No Auditing
Registry No Auditing
Kernel Object No Auditing
SAM No Auditing
Certification Services No Auditing
Application Generated No Auditing
Handle Manipulation No Auditing
File Share No Auditing
Filtering Platform Packet Drop No Auditing
Filtering Platform Connection No Auditing
Other Object Access Events No Auditing
Detailed File Share No Auditing
Removable Storage No Auditing
Central Policy Staging No Auditing
Privilege Use
Non Sensitive Privilege Use No Auditing
Other Privilege Use Events No Auditing
Sensitive Privilege Use No Auditing
Detailed Tracking
Process Creation No Auditing
Process Termination No Auditing
DPAPI Activity No Auditing
RPC Events No Auditing
Policy Change
Authentication Policy Change Success
Authorization Policy Change No Auditing
MPSSVC Rule-Level Policy Change No Auditing
Filtering Platform Policy Change No Auditing
Other Policy Change Events No Auditing
Audit Policy Change Success
Account Management
User Account Management Success
Computer Account Management No Auditing
Security Group Management Success
Distribution Group Management No Auditing
Application Group Management No Auditing
Other Account Management Events No Auditing
DS Access
Directory Service Changes No Auditing
Directory Service Replication No Auditing
Detailed Directory Service Replication No Auditing
Directory Service Access No Auditing
Account Logon
Kerberos Service Ticket Operations No Auditing
Other Account Logon Events No Auditing
Kerberos Authentication Service No Auditing
Credential Validation No Auditing
答案1
这是正常的,不要惊慌。
当发生以下两种情况之一时,将为每个本地帐户记录以下事件之一:
按下“开始”屏幕上的用户磁贴以获取与帐户相关的选项的下拉菜单:
在这种情况下,主题是当前登录的用户(即我,在上面的屏幕截图中)。即使在加入域的计算机上,如果结果菜单中没有显示本地帐户,也会记录事件。
- 登录 UI 似乎显示可登录的本地用户列表。在本例中,主题为
NT AUTHORITY\LOCAL SERVICE。在仅输入用户名和密码的域加入计算机上不会记录事件。
至于该事件的含义,它就是字面上的意思 - 以主体身份运行的应用程序在目标帐户名指定的帐户上测试空白密码。Windows 这样做是为了不需要提示用户输入他们没有的密码;对于某些人来说,如果他们没有密码,在登录前看到密码框会感到困惑。
在用户单击登录屏幕或切换列表中的其他用户之一之前,Windows 不应该进行该检查,但事实确实如此。
答案2
安全审计
安全审计是帮助维护企业安全的强大工具。审计可用于多种目的,包括取证分析、法规遵从性、监控用户活动和故障排除。
您可以使用 Windows 安全和系统日志来创建安全事件跟踪系统,记录和存储与潜在有害行为相关的网络活动,并减轻这些风险。
来源:安全审计概述
安全审核分为不同的类别,例如注册表和文件系统访问、登录尝试失败以及用户帐户更改。某些类别默认启用。要获取可用类别的列表,您可以从提升的命令提示符:
auditpol /get /category:*
事件 4797
典型事件如下:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 6/29/2014 10:39:58 AM
Event ID: 4797
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation: <ComputerName>
Target Account Name: Administrator
Target Account Domain: <DomainName>
如你所见,类别是用户帐户管理,它会生成与用户帐户相关的审计事件。与其他事件不同,此特定事件似乎没有记录。
禁用所有审计策略
要确认内置的安全审计功能是否是罪魁祸首,您可以暂时清除所有审计策略,从而禁用它们。
打开提升的命令提示符。
运行以下命令备份审计策略:
auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"确保文件已正确保存。它应该位于桌面上。如果不是,请选择其他文件路径并重试。
禁用所有审计策略:
auditpol /clear重新启动 Windows,并检查是否仍收到相同的事件。要恢复之前创建的策略备份,请运行以下命令:
auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
进一步阅读
答案3
我们公司的多个系统都出现了这种情况,因此我们直接向微软寻求帮助:
“根据我的发现,关于事件 ID 4947 “有人试图查询帐户是否存在空白密码”,如果您对“用户帐户管理”启用了审核,则会收到此事件
审计级别为信息性,而非警告或错误。此事件可以安全忽略,因为它仅用于提供信息并检查用户是否设置了空白密码。只有在启用审计时才会看到此事件,并且此事件并不意味着系统存在任何漏洞”
答案4
Windows 10,“信息性”消息:事件 ID 4947,“尝试查询帐户是否存在空白密码。”开始出现在系统事件查看器中……我很担心。进行故障排除以查看为什么突然出现此消息。UAC“权限”非常有限,然后我记起来,我已授予应用程序访问权限。
已经逆转,不再受到“试图查询帐户是否存在空白密码”的困扰。
提醒自己:别%^#$@$ 把没坏的东西带到处乱放!