Hola a todos: La consulta es sobre un Windows 2012 Server R2, que controla un dominio. Hace dos meses se encriptó, y rescaté de copia de seguridad. Veo en visor-Seguridad, que algo llamado “MICROSOFT_AUTHENTICATION_PACKAGE_V1_0” intenta acceder, generando cuentas, y mostrando “Error de Auditoria”, sin parar. Algo, no sé si desde red o que esté en el sistema, está intentando acceder y repetir jugada. El ESET FIle security no me dice nada. ¿Alguna sugerencia?
Hola @NetLoboX.
¿Te muestra algún código de error? Este código sería muy importante para saber qué evento está generando los Errores de Auditoría.
En Propiedades del Evento o “Event Properties” deberías ver algo similar a esto:
Entra a Auditoría de Validación de Credenciales y subes una captura similara la que te he dejado para reconocer exactamente el error.
Normalmente no se trata de un problema de virus aunque no lo puedo descartar al 100%. Muchos de estos eventos se generan cada vez que se produce una validación de credenciales mediante la autenticación NTLM.
Mi experiencia no me permite ayudarte en el campo de los virus, malwares, etc. Seguramente alguien del staff o más capacitado sabrán indicar los pasos en caso de algún posible ataque.
Saludos!
Hola: Es muy parecido
En otro error, el XML muestra lo siguiente:
-<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
-<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2020-02-21T22:14:17.177711200Z" />
<EventRecordID>77596271</EventRecordID>
<Correlation />
<Execution ProcessID="648" ThreadID="10908" />
<Channel>Security</Channel>
<Computer>ser. .local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">RADUGA</Data>
<Data Name="Workstation" />
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
Ayer vi que un paquete de esos sí que logró acertar:
Su vista XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-02-20T14:59:45.464051800Z" />
<EventRecordID>77489056</EventRecordID>
<Correlation />
<Execution ProcessID="648" ThreadID="9916" />
<Channel>Security</Channel>
<Computer>serv. .local</Computer>
<Security />
</System>
- <EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">s ae</Data>
<Data Name="Workstation">JTALLER-SERP</Data>
<Data Name="Status">0x0</Data>
</EventData>
</Event>
El proceso 648 es el lsass. En el que no acierta, es el propio servidor, aunque la cuenta no existe, en el que acierta es un equipo y cuenta real del dominio. Un saludo y ¡buen fin de semana!
Hola @NetLoboX
Como las causales del error son muchas, y normalmente a medida que las vayas identificando pueden surgir nuevas, buscar posibilidades de reparación por este medio sería muy engorroso.
A tal efecto te dejo un link que ta van a ayudar a resolver cualquier problema con el Evento 4776. Podrás observar que tenes en la misma página una serie de otros links enlazados, a la izquierda podes buscar y filtrar por “título” (búsqueda) y hasta bajarte un PDF muy completo.
Lo más relevante, es ante un evento tipo 4776 identificar el código de error para encontrar la solución fácilmente.
Así y todo no descarto que pueda haber algún virus o malware que esté complicando algo, que como te dije, no es mi fuerte.
Saludos!
hola, permiso, tengo una duda:
¿Ese Servidor, pertenece a una empresa/organizacion o es particular(tuyo)?
saludos