- Understanding Application Control events
- Microsoft Windows CodeIntegrity Operational log event IDs
- Microsoft Windows Applocker MSI and Script log event IDs
- Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
- SmartLocker template
- Enabling ISG and MI diagnostic events
- Event ID, которые нужно знать системным администраторам AD
- События в аудит логах контроллеров доменов
- Локальные события. Вход и выход из системы (Logon/Logoff)
- Типы входов в систему (Logon Types)
- Коды отказов Kerberos
- Коды ошибок NTLM
- Понимание событий Application Control Understanding Application Control events
- Код события операционного журнала Microsoft Windows CodeIntegrity Microsoft Windows CodeIntegrity Operational log event IDs
- Microsoft Windows Applocker MSI и ИД событий журнала скриптов Microsoft Windows Applocker MSI and Script log event IDs
- Необязательные события диагностики Intelligent Security Graph (ISG) или управляемого установщика (MI) Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
- Шаблон SmartLocker SmartLocker template
- Включение событий диагностики isG и MI Enabling ISG and MI diagnostic events
Understanding Application Control events
A Windows Defender Application Control (WDAC) policy logs events locally in Windows Event Viewer in either enforced or audit mode. These events are generated under two locations:
Event IDs beginning with 30 appear in Applications and Services logs – Microsoft – Windows – CodeIntegrity – Operational
Event IDs beginning with 80 appear in Applications and Services logs – Microsoft – Windows – AppLocker – MSI and Script
Microsoft Windows CodeIntegrity Operational log event IDs
| Event ID | Explanation |
|---|---|
| 3076 | Audit executable/dll file |
| 3077 | Block executable/dll file |
| 3089 | Signing information event correlated with either a 3076 or 3077 event. One 3089 event is generated for each signature of a file. Contains the total number of signatures on a file and an index as to which signature it is. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Correlated in the «System» portion of the event data under «Correlation ActivityID». |
| 3099 | Indicates that a policy has been loaded |
Microsoft Windows Applocker MSI and Script log event IDs
| Event ID | Explanation |
|---|---|
| 8028 | Audit script/MSI file generated by Windows LockDown Policy (WLDP) being called by the scripthosts themselves. Note: there is no WDAC enforcement on 3rd party scripthosts. |
| 8029 | Block script/MSI file |
| 8038 | Signing information event correlated with either a 8028 or 8029 event. One 8038 event is generated for each signature of a script file. Contains the total number of signatures on a script file and an index as to which signature it is. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Correlated in the «System» portion of the event data under «Correlation ActivityID». |
Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
If either the ISG or MI is enabled in a WDAC policy, you can optionally choose to enable 3090, 3091, and 3092 events to provide additional diagnostic information.
| Event ID | Explanation |
|---|---|
| 3090 | Allow executable/dll file |
| 3091 | Audit executable/dll file |
| 3092 | Block executable/dll file |
3090, 3091, and 3092 events are generated based on the status code of whether a binary passed the policy, regardless of what reputation it was given or whether it was allowed by a designated MI. The SmartLocker template which appears in the event should indicate why the binary passed/failed. Only one event is generated per binary pass/fail. If both ISG and MI are disabled, 3090, 3091, and 3092 events will not be generated.
SmartLocker template
Below are the fields which help to diagnose what a 3090, 3091, or 3092 event indicates.
| Name | Explanation |
|---|---|
| StatusCode | STATUS_SUCCESS indicates a binary passed the active WDAC policies. If so, a 3090 event is generated. If not, a 3091 event is generated if the blocking policy is in audit mode, and a 3092 event is generated if the policy is in enforce mode. |
| ManagedInstallerEnabled | Policy trusts a MI |
| PassesManagedInstaller | File originated from a trusted MI |
| SmartlockerEnabled | Policy trusts the ISG |
| PassesSmartlocker | File had positive reputation |
| AuditEnabled | True if the policy is in audit mode, otherwise it is in enforce mode |
Enabling ISG and MI diagnostic events
In order to enable 3091 audit events and 3092 block events, you must create a TestFlags regkey with a value of 0x100. You can do so using the following PowerShell command:
In order to enable 3090 allow events as well as 3091 and 3092 events, you must instead create a TestFlags regkey with a value of 0x300. You can do so using the following PowerShell command:
Event ID, которые нужно знать системным администраторам AD
Сисадминам, который занимаются Active Directory для мониторинга событий и ошибок, связанных с аутентификацией. Для мониторинга сначала надо включить соответствующие аудиты в локальных или доменных политиках.
После включения аудита необходимо тем или иным способом (например, через Powershell script) проверять логи на интересующие вас Event ID. Обратите внимание, что аудит логи хранятся на ADC очень короткое время, поэтому надо или настроить их экспорт во внешнюю систему или успеть найти нужное событие в реальном времени.
Приведу примерный скрипт, который можно использовать для мониторинга события 4625 в русский версии Windows Server.
Ниже приводится список событий, которые необходимо мониторить. Трехзначные Event ID соответствуют уровню домена и леса (functional level) 2003.
События в аудит логах контроллеров доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Локальные события. Вход и выход из системы (Logon/Logoff)
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Был ли наш пост полезен?
Нажмите на звезду, чтобы оценить мои труды!
Средний рейтинг: 0 / 5. Количество голосов: 0
Понимание событий Application Control Understanding Application Control events
Политика Защитник Windows управления приложениями (WDAC) регистрет события локально в windows Event Viewer в принудительном режиме или в режиме аудита. A Windows Defender Application Control (WDAC) policy logs events locally in Windows Event Viewer in either enforced or audit mode. Эти события создаются в двух расположениях: These events are generated under two locations:
Коды событий, начиная с 30, отображаются в журналах приложений и служб — Майкрософт — Windows — CodeIntegrity — операционные Event IDs beginning with 30 appear in Applications and Services logs – Microsoft – Windows – CodeIntegrity – Operational
ИД событий, начиная с 80, отображаются в журналах приложений и служб — Майкрософт — Windows — AppLocker — MSI и script Event IDs beginning with 80 appear in Applications and Services logs – Microsoft – Windows – AppLocker – MSI and Script
Код события операционного журнала Microsoft Windows CodeIntegrity Microsoft Windows CodeIntegrity Operational log event IDs
| Код события Event ID | Объяснение Explanation |
|---|---|
| 3076 3076 | Аудит исполняемого файла/DLL-файла Audit executable/dll file |
| 3077 3077 | Блокировка исполняемого файла/DLL-файла Block executable/dll file |
| 3089 3089 | Событие подписи информации, сопоставленное с событием 3076 или 3077. Signing information event correlated with either a 3076 or 3077 event. Для каждой подписи файла создается одно событие 3089. One 3089 event is generated for each signature of a file. Содержит общее количество подписей в файле и индекс того, какая подпись это. Contains the total number of signatures on a file and an index as to which signature it is. Неподписаные файлы будут создавать одно событие 3089 с totalSignatureCount 0. Unsigned files will generate a single 3089 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID». |
| 3099 3099 | Указывает, что политика загружена Indicates that a policy has been loaded |
Microsoft Windows Applocker MSI и ИД событий журнала скриптов Microsoft Windows Applocker MSI and Script log event IDs
| Код события Event ID | Объяснение Explanation |
|---|---|
| 8028 8028 | Файл скрипта аудита или MSI, созданный политикой блокировки Windows (WLDP), который вызван самими скриптами. Audit script/MSI file generated by Windows LockDown Policy (WLDP) being called by the scripthosts themselves. Примечание. В сторонних scripthosts не существует принудительных прав WDAC. Note: there is no WDAC enforcement on 3rd party scripthosts. |
| 8029 8029 | Блокировка скрипта или MSI-файла Block script/MSI file |
| 8038 8038 | Событие подписи информации, сопоставленное с событием 8028 или 8029. Signing information event correlated with either a 8028 or 8029 event. Для каждой подписи файла сценария создается одно событие 8038. One 8038 event is generated for each signature of a script file. Содержит общее количество подписей в файле скрипта и индекс того, какая подпись это подпись. Contains the total number of signatures on a script file and an index as to which signature it is. Неподписаные файлы скриптов создают одно событие 8038 с totalSignatureCount 0. Unsigned script files will generate a single 8038 event with TotalSignatureCount 0. Коррелирует в части «Система» данных события в «Correlation ActivityID». Correlated in the «System» portion of the event data under «Correlation ActivityID». |
Необязательные события диагностики Intelligent Security Graph (ISG) или управляемого установщика (MI) Optional Intelligent Security Graph (ISG) or Managed Installer (MI) diagnostic events
Если в политике WDAC включена isG или MI, можно включить события 3090, 3091 и 3092 для предоставления дополнительных диагностических сведений. If either the ISG or MI is enabled in a WDAC policy, you can optionally choose to enable 3090, 3091, and 3092 events to provide additional diagnostic information.
| Код события Event ID | Объяснение Explanation |
|---|---|
| 3090 3090 | Разрешить исполняемый/DLL-файл Allow executable/dll file |
| 3091 3091 | Аудит исполняемого файла/DLL-файла Audit executable/dll file |
| 3092 3092 | Блокировка исполняемого файла/DLL-файла Block executable/dll file |
События 3090, 3091 и 3092 создаются на основе кода состояния о том, прошел ли двоичный файл политику независимо от того, какая репутация ему была назначена или была ли она разрешена назначенным mi. 3090, 3091, and 3092 events are generated based on the status code of whether a binary passed the policy, regardless of what reputation it was given or whether it was allowed by a designated MI. Шаблон SmartLocker, который отображается в событии, должен указывать, почему двоичный файл был передан или сбой. The SmartLocker template which appears in the event should indicate why the binary passed/failed. На двоичный проход/сбой создается только одно событие. Only one event is generated per binary pass/fail. Если и ISG, и MI отключены, события 3090, 3091 и 3092 не будут созданы. If both ISG and MI are disabled, 3090, 3091, and 3092 events will not be generated.
Шаблон SmartLocker SmartLocker template
Ниже приведены поля, которые помогают диагностировать, что указывает событие 3090, 3091 или 3092. Below are the fields which help to diagnose what a 3090, 3091, or 3092 event indicates.
| Имя Name | Объяснение Explanation |
|---|---|
| StatusCode StatusCode | STATUS_SUCCESS указывает, что активные политики WDAC переданы двоичному файлу. STATUS_SUCCESS indicates a binary passed the active WDAC policies. В этом случае создается событие 3090. If so, a 3090 event is generated. В этом случае создается событие 3091, если политика блокировки находится в режиме аудита, а событие 3092 создается, если политика находится в режиме принудительного применения. If not, a 3091 event is generated if the blocking policy is in audit mode, and a 3092 event is generated if the policy is in enforce mode. |
| ManagedInstallerEnabled ManagedInstallerEnabled | Политика доверяет MI Policy trusts a MI |
| PassesManagedInstaller PassesManagedInstaller | Файл исходил из доверенного mi File originated from a trusted MI |
| SmartlockerEnabled SmartlockerEnabled | Политика доверяет isG Policy trusts the ISG |
| PassesSmartlocker PassesSmartlocker | Файл с положительной репутацией File had positive reputation |
| AuditEnabled AuditEnabled | Имеет true, если политика находится в режиме аудита, в противном случае она находится в режиме принудительного применения True if the policy is in audit mode, otherwise it is in enforce mode |
Включение событий диагностики isG и MI Enabling ISG and MI diagnostic events
Чтобы включить события аудита 3091 и события блокировки 3092, необходимо создать regkey TestFlags со значением 0x100. In order to enable 3091 audit events and 3092 block events, you must create a TestFlags regkey with a value of 0x100. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:
Чтобы включить события 3090, а также события 3091 и 3092, необходимо создать regkey TestFlags со значением 0x300. In order to enable 3090 allow events as well as 3091 and 3092 events, you must instead create a TestFlags regkey with a value of 0x300. Это можно сделать с помощью следующей команды PowerShell: You can do so using the following PowerShell command:
