Вирус изменяет учетную запись

Обновлено: 23.04.2024

Windows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise without Hyper-V Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Standard without Hyper-V Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Service Pack 2 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Microsoft Windows XP Service Pack 3 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Еще. Меньше

Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратилась 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на веб-сайте корпорации Майкрософт по следующему адресу: Заканчивается поддержка некоторых версий Windows.

Аннотация

Дополнительные сведения о вирусе Conficker см. на веб-сайте корпорации Майкрософт по следующему адресу:

Признаки заражения

О заражении компьютера этим червем свидетельствует наличие любого из перечисленных ниже симптомов, однако в некоторых случаях признаки заражения полностью отсутствуют.

Нарушение политик блокировки учетных записей.

Отключение службы автоматического обновления, фоновой интеллектуальной службы передачи (BITS), Защитника Windows и службы регистрации ошибок.

Слишком медленные ответы контроллеров доменов на запросы клиентов.

Недоступность различных веб-сайтов, посвященных вопросам безопасности.

Неработоспособность различных средств обеспечения безопасности. Для получения списка известных средств посетите веб-сайт Майкрософт по приведенному ниже адресу и откройте вкладку Анализ, содержащую сведения о вирусе-черве Win32/Conficker.D. Дополнительные сведения см. на веб-сайте Майкрософт по следующему адресу:

Дополнительные сведения о вирусе-черве Win32/Conficker см. на веб-сайте Центра Майкрософт по защите от вредоносных программ:

Методы распространения

Вирус-червь Win32/Conficker распространяется различными способами. К ним относятся:

использование сетевых папок;

использование функциональных возможностей автозапуска.

Поэтому необходимо соблюдать особую осторожность при очистке сети: опасные файлы не должны повторно заражать уже очищенные системы.

Примечание. Вариант вируса-червя Win32/Conficker.D не заражает съемные носители или общие папки по сети. Червь Win32/Conficker.D устанавливается предыдущими вариантами Win32/Conficker.

Защита

Используйте надежные пароли администратора, уникальные для каждого компьютера.

Не входите на компьютеры с использованием учетных данных администратора домена или учетных данных, предоставляющих доступ ко всем компьютерам.

Убедитесь, что на всех системах установлены последние обновления для системы безопасности.

Удалите чрезмерные права доступа к общим папкам. К ним относятся права на запись в корень общей папки.

Действия по устранению последствий

Блокирование распространения вируса Win32/Conficker с помощью групповой политики

Важно! Перед внесением любых изменений, предлагаемых в этой статье, следует задокументировать все текущие настройки.

Эта процедура не удаляет вредоносную программу Conficker из системы, а позволяет только остановить ее распространение. Чтобы удалить вирус-червь Conficker, необходимо воспользоваться антивирусной программой. Можно также удалить его вручную. Для этого следуйте указаниям, приведенным в разделе Удаление вируса Win32/Conficker вручную.

После изменения разрешений согласно приведенным ниже рекомендациям может оказаться невозможной правильная установка приложений, пакетов обновления или других обновлений. В частности, к ним относятся обновления, устанавливаемые с использованием Центра обновлений Windows, сервера служб Windows Server Update Services (WSUS) и диспетчера System Center Configuration Manager (Configuration Manager 2007), так как работа этих продуктов зависит от компонентов автоматического обновления. После очистки системы необходимо восстановить настройки разрешений по умолчанию.

Создание объекта групповой политики

Создайте объект групповой политики, который будет применяться ко всем компьютерам в определенном подразделении, сайте или домене, в зависимости от требований конкретной среды.

Для этого выполните указанные ниже действия.

Настройте политику на удаление разрешений на запись в следующий подраздел реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Это позволит предотвратить создание в разделе реестра netsvcs вредоносной службы с произвольным именем.

Для этого выполните указанные ниже действия.

Откройте консоль управления групповыми политиками.

Создайте объект групповой политики и присвойте ему произвольное имя.

Откройте созданный объект групповой политики и перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Реестр

Щелкните правой кнопкой мыши элемент Реестр, а затем выберите команду Добавить раздел.

В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:

В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.

В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

Настройте политику для удаления разрешений на запись в папку %windir%\Tasks. Это позволит предотвратить создание вредоносной программой Conficker назначенных задач, которые могут заразить систему повторно.

Для этого выполните указанные ниже действия.

В созданном ранее объекте групповой политики перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Файловая система

Щелкните правой кнопкой мыши элемент Файловая система, а затем выберите команду Добавить файл.

В диалоговом окне Добавление файла или папки перейдите к папке %windir%\Tasks. Убедитесь, что пункт Задачи выделен и указан в диалоговом окне Папка.

В появившемся диалоговом окне снимите флажки Полный доступ, Изменение и Запись для групп Администраторы и Система.

Отключите функции автозапуска. Это позволит предотвратить распространение вредоносной программы Conficker через использование функций автозапуска, встроенных в систему Windows.

Примечание. В зависимости от используемой версии Windows для правильного отключения функций автозапуска нужно установить различные обновления.

Чтобы отключить функции автозапуска в системе Windows XP, Windows Server 2003 или Windows 2000, установите обновление для системы безопасности 950582, 967715 или 953252.

Чтобы отключить функции автозапуска, выполните описанные ниже действия.

В созданном ранее объекте групповой политики перейдите в одну из указанных ниже папок.

Для домена под управлением сервера Windows Server 2003:

Конфигурация компьютера\Административные шаблоны\Система

Для домена под управлением сервера Windows Server 2008:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска

Откройте политику Отключить автозапуск.

В диалоговом окне Отключить автозапуск установите переключатель Включено.

В раскрывающемся меню выберите пункт Все диски.

Закройте консоль управления групповыми политиками.

Свяжите созданный объект групповой политики с расположением, к которому его необходимо применить.

Подождите, пока параметры групповой политики не будет обновлены на всех компьютерах. Обычно репликация групповой политики на каждый контроллер домена занимает пять минут. Последующая репликация на оставшиеся компьютеры занимает 90 минут. Продолжительность всего процесса не превышает двух часов. Однако в зависимости от среды может потребоваться больше времени.

После распространения параметров групповой политики очистите компьютеры от вредоносной программы.

Для этого выполните указанные ниже действия.

Запустите на всех компьютерах полную антивирусную проверку.

Восстановление

Запустите средство проверки безопасности (Майкрософт).

В Центре Майкрософт по защите от вредоносных программ предлагается обновленное средство проверки безопасности (Майкрософт). Это автономный двоичный файл, который используется для удаления наиболее распространенных вредоносных программ, в том числе вредоносных программ семейства Win32/Conficker.

Примечание. Средство проверки безопасности (Майкрософт) не является антивирусной программой, работающей в режиме реального времени, и не предотвращает повторное заражение.

Загрузить средство проверки безопасности Майкрософт можно на следующем веб-сайте корпорации Майкрософт:

Удаление вируса Win32/Conficker вручную

Описанные действия, выполняемые вручную, следует выполнять только при отсутствии антивирусных программ, позволяющих удалить вирус Conficker.

В зависимости от конкретного варианта червя Win32/Conficker, заразившего компьютер, некоторые значения, упомянутые в этом разделе, могут остаться неизменными.

Для удаления вируса Conficker выполните описанные ниже действия.

Войдите в систему с локальной учетной записью.

Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Это позволяет вредоносным программам распространяться.

Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.

Примечание. Службу сервера нужно отключить только временно, чтобы устранить вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже.

В зависимости от системы выполните одно из описанных ниже действий.

В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.

Дважды щелкните элемент Сервер.

В поле Тип запуска выберите значение Отключено.

Удалите все созданные задания автозапуска. Для этого введите в командной строке команду AT /Delete /Yes.

Остановите службу планировщика заданий.

Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.

Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия.

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003.

Найдите и щелкните следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить.

В поле Значение введите 4 и нажмите кнопку ОК.

Закройте редактор реестра и перезагрузите компьютер.

Примечание. Службу планировщика заданий нужно отключить только на время, необходимое для удаления вредоносных программ. Это особенно важно в системах Windows Vista и Windows Server 2008, поскольку данное действие затрагивает многие встроенные запланированные задания. Сразу же после очистки среды включите службу сервера.

Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :

Найдите и выберите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.

Если компьютер заражен вирусом Win32/Conficker, будет указано случайное имя службы.

Примечание. При заражении компьютера вариантом вируса Win32/Conficker.B имя службы будет состоять из случайного набора букв и находиться в нижней части списка. В случае более поздних вариантов вируса имя службы может находиться в любом месте списка и выглядеть менее подозрительно. Если в нижней части списка нет службы со случайным именем, сравните список системы с таблицей служб в этой статье, чтобы установить, какое имя могло быть добавлено вирусом Win32/Conficker. Для подтверждения сравните список в таблице служб со списком на похожей незараженной системе.

Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.

Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Примечания к таблице служб

Все записи в таблице представляют действительные службы, за исключением элементов, выделенных полужирным шрифтом.

Элементы, выделенные полужирным шрифтом — это примеры записей, которые вирус Win32/Conficker может добавить в значение netsvcs в разделе реестра SVCHOST.

Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.

В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.

Долго мы боролись с различными вымогателями и блокираторами MBR, но вирусописатели не спят, и весной встречаем новое детище! Троян-блокировщик, добавленный в вирусные базы под названием Trojan.Winlock.5729. Отличительной особенностью этого вируса-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

До этого времени вирусы-блокираторы использовали для блокировки входа в операционную систему Windows специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и показывающее на экране компьютера провокационный текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. авторы Trojan.Winlock.5729 пошли по другому, гораздо более простому, но весьма оригинальному пути.

Троянский конь скрывается в измененном хакером файле установки популярной программы Artmoney, предназначенной для взлома и редактирования различных ресурсов в компьютерных играх. В дополнении к настоящему установочному Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. Во время запуска зараженного установочного файла первым делом запускается password_on.bat, который содержит набор команд, выполняющих проверку операционной системы. Проверяет наличие на винчестере каталога c:\users\, который свидетельствует присутствия установленной операционной системы Windows Vista и Windows 7. В этом случае вирус удаляется, если же этой папки он не находит, троянская программа считает, что он запущен в Windows XP. Тогда Trojan.Winlock.5729 изменяет системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами:

Но текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли пользователей и в системном реестре возвращает оригинальное значение UIHost.

Выполнив выход из системы или перезагрузку, пользователь уже не сможет войти, поскольку пароли всех учетных записей пользователей были изменены.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.

Корпорация Майкрософт очень серьезно относится к обеспечению безопасности вашей учетной записи, чтобы другие пользователи не могли входить в нее без вашего разрешения. Если мы замечаем попытку входа в вашу учетную запись в новом месте, мы защищаем ее путем отправки вам оповещения по электронной почте и в SMS. Если ваш номер телефона или адрес электронной почты изменились, важно оперативно обновить контактные данные безопасности на странице Основные сведения о безопасности, чтобы мы могли защитить вашу учетную запись и она осталась активна.

При входе в учетную запись во время поездки или через новое приложение, вы можете получить оповещение. Необходимо, чтобы вы предоставили нам код безопасности, чтобы мы знали, что попытка входа была совершена вами и что ваша учетная запись защищена.

Чтобы узнать, как действовать в случае обнаружения необычных действий в вашей учетной записи, выберите один из следующих заголовков. Под ним будут представлены дополнительные сведения.

Возможно, мы заблокировали для вас возможность входа в систему, если вы используете новое устройство, если вы установили новое приложение или находитесь в дороге или в любом новом местоположении. Эта мера безопасности защищает вашу учетную запись на случай, если кто-то получит сведения о вашей учетной записи и попытается выполнить вход от вашего имени. Чтобы разблокировать учетную запись, выберите способ получения защитного кода, следуя инструкциям на экране входа. Введите полученный код, чтобы восстановить доступ к учетной записи.

Если вы путешествуете и не можете пользоваться почтой или телефоном, которые связаны с вашей учетной записью, можно сделать следующее:

Если выполнить это невозможно, вы все равно можете восстановить доступ к своей учетной записи после входа в нее с доверенного устройства или в обычном месте.

Если у вас с собой есть устройство, на котором вы обычно выполняете вход, и вы указали его как доверенное, вы можете войти на этом устройстве и восстановить доступ к учетной записи.

Если вы оставили свой телефон дома, обратитесь к человеку, который имеет к нему доступ, и попросите сообщить вам отправленный на устройство защитный код.

Войдите на страницу Основы безопасности вашей учетной записи Майкрософт.

Выберите Просмотр действий, чтобы просмотреть необычные попытки входа на странице Недавние действия. Если вы обнаружили действия, которые вы не выполняли, отметьте их на странице недавних действий, и мы поможем обеспечить безопасность вашей учетной записи. В разделе "Необычные действия" можно развернуть действие и выбрать Это действие выполнено не мной. В разделе "Недавние действия" можно развернуть действие и выбрать Защитить учетную запись.

Если вы считаете, что кто-то другой мог получить доступ к вашей учетной записи, вернитесь на страницу Основные сведения о безопасности и выберите Изменить пароль. Создайте надежный пароль, который вы сможете запомнить, и никому его не сообщайте.

Если вам не удается войти в свою учетную запись, возможно, ваш пароль изменил кто-то другой. Выполните следующие действия, чтобы выполнить вход в учетную запись:

Попытайтесь сбросить пароль, выполнив инструкции в разделе Не удается войти в учетную запись Майкрософт. Выполнив этот шаг первым, вам не потребуется выполнять дополнительные действия, если вы случайно вошли с другой учетной записью, отличной от той, для которой было отправлено оповещение.

Если это не сработает, попробуйте повторить вход в учетную запись. Нажмите Забыли пароль на странице входа, а затем выберите вариант Мне кажется, моей учетной записью Майкрософт пользуется кто-то другой. Следуйте указаниям по восстановлению учетной записи.

Если у вас возникают проблемы при входе в учетную запись Windows или Майкрософт, см. раздел Не удается войти в учетную запись Майкрософт для получения дополнительных сведений.

Если вам нужны инструкции по повышению безопасности вашей учетной записи Майкрософт, см. раздел Обеспечение безопасности учетной записи Майкрософт.

Это событие создает каждый раз, когда объект компьютера меняется.

Это событие создается только на контроллерах домена.

В этом событии можно увидеть те же значения для объекта безопасности иучетной записи \ **** компьютера, которые были \ **** изменены. Обычно это происходит при перезагрузке компьютера после добавления его в домен (изменение вступает в силу после перезагрузки).

Для каждого изменения создается отдельное событие 4742.

Некоторые изменения не вызывают событие 4742, например изменения, внесенные с помощью консоли управления пользователями Active Directory и компьютерами в вкладке Managed By в свойствах учетной записи компьютера.

Вы можете увидеть это событие без каких-либо изменений внутри, то есть, где все измененные атрибуты отображаются как - . Это обычно происходит, когда происходит изменение атрибута, который не указан в событии. В этом случае нет способа определить, какой атрибут был изменен. Например, это произойдет, если **** изменить описание группового объекта с помощью административной консоли Active Directory Users and Computers. Кроме того, если список управления дискреционным доступом (DACL) изменен, будет создаваться событие 4742, но все атрибуты будут - .

Если вы вручную измените любой параметр или атрибут, связанный с пользователем, например если вы установите флаг SMARTCARD_REQUIRED для учетной записи компьютера userAccountControl, то sAMAccountType учетной записи компьютера будет изменен на NORMAL_USER_ACCOUNT и вы получите"4738:учетная запись пользователя была изменена" вместо 4742 для этой учетной записи компьютера. По сути, учетная запись компьютера "станет" учетной записью пользователя. Для NORMAL_USER_ACCOUNT всегда будут получаться события из подкатегории управления учетными записьми пользователей аудита. Настоятельно рекомендуется избегать вручную изменять параметры, связанные с пользователем для компьютерных объектов.

Рекомендации см. в Рекомендации мониторинга безопасности для этого события.

XML события:

Необходимые роли сервера: Контроллер домена Active Directory.

Минимальная версия ОС: Windows Server 2008.

Версии события: 0.

Описания полей:

Тема:

Security ID [Type = SID]: SID учетной записи, запросив операцию "Изменение объекта компьютера". Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.

Имя учетной записи [Type = UnicodeString]— имя учетной записи, запрашиваемой для операции "Изменение объекта компьютера".

Домен учетной записи [Type = UnicodeString]: доменное имя субъекта. Форматы различаются и включают в себя следующее:

Пример имени домена NETBIOS: CONTOSO

Полное имя домена в нижнем регистре: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".

Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Компьютерная учетная запись, которая была изменена:

Security ID [Type = SID]: SID измененной учетной записи компьютера. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Имя учетной записи [Type = UnicodeString]: имя измененной учетной записи компьютера. Например: WIN81$

Домен учетной записи [Тип = UnicodeString]: доменное имя измененной учетной записи компьютера. Форматы различаются и включают в себя следующее:

Пример имени домена NETBIOS: CONTOSO

Полное имя домена в нижнем регистре: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Измененные атрибуты:

Если атрибут не был изменен, он будет иметь - значение.

Имя учетной записи SAM [Type = UnicodeString]: имя логотипа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя логотипа Windows 2000). Если значение атрибута sAMAccountName объекта компьютера было изменено, вы увидите новое значение здесь. Например: WIN8$.

Отображение имени [Type = UnicodeString]: это имя отображается в адресной книге для определенной учетной записи (обычно — учетная запись пользователя). Обычно это сочетание имени пользователя, среднего начального и фамилии. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта. Если значение атрибута displayName объекта компьютера было изменено, вы увидите новое значение здесь.

Имя пользователя [Type = UnicodeString]: имя входа в интернет-стиле для учетной записи на основе стандарта RFC 822 в Интернете. По соглашению это должно соотносяться с именем электронной почты учетной записи. Если значение атрибута userPrincipalName объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Главная каталог [Type = UnicodeString]: домашний каталог пользователя. Если атрибут homeDrive задан и указывает букву диска, homeDirectory должен быть путем UNC. Путь должен быть сетевым UNC формы \\Server\Share\Directory. Если значение атрибута homeDirectory объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Home Drive [Type = UnicodeString]: указывает букву диска, к которой необходимо соотвести путь UNC, указанный атрибутом учетной записи homeDirectory. Буква диска должна быть указана в форме DRIVE\_LETTER: . Например — H: . Если значение атрибута homeDrive объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Путь скрипта [Type = UnicodeString]: указывает путь сценария логотипа учетной записи. Если значение атрибута scriptPath объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Путь профиля [Тип = UnicodeString]: указывает путь к профилю учетной записи. Это значение может быть null string, локальный абсолютный путь или путь UNC. Если значение атрибута profilePath объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Рабочие станции пользователей [Type = UnicodeString]: содержит список имен NetBIOS или DNS компьютеров, с которых пользователь может логотипировать. Каждое имя компьютера разделено запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. Если значение атрибута userWorkstations для объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Последний набор паролей [Type = UnicodeString]: последний раз, когда пароль учетной записи был изменен. Если значение атрибута pwdLastSet для объекта компьютера было изменено, вы увидите новое значение здесь. Например: 08.12.2015 11:41:39. Это значение будет изменено, например, после действия сброса учетной записи вручную или автоматически каждые 30 дней по умолчанию для объектов компьютера.

Истекает срок действия учетной записи [Type = UnicodeString]: дата истечения срока действия учетной записи. Если значение атрибута accountExpires объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Идентификатор основной группы [Type = UnicodeString]: относительный идентификатор (RID) основной группы объектов компьютера.

Относительный идентификатор (RID) — это номер переменной длины, который назначен объектам при создании и становится частью идентификатора безопасности объекта (SID), который однозначно идентифицирует учетную запись или группу в домене.

Это поле будет содержать некоторое значение, если основная группа объектов компьютера была изменена. Вы можете изменить основную группу компьютера с помощью консоли управления пользователями Active Directory и Computers на вкладке Member Of свойств объектов компьютера. Вы увидите rid новой основной группы в качестве значения поля. Например, 515 (Доменные компьютеры) для рабочих станций — это основная группа по умолчанию.

Типичные значения основной группы для учетных записей компьютера:

516 (Контроллеры домена) — для контроллеров домена.

521 (Контроллеры домена только для чтения) — контроллеры домена только для чтения (RODC).

515 (Доменные компьютеры) — серверы и рабочие станции.

Дополнительные сведения см. в известных директорах безопасности. Если значение атрибута primaryGroupID объекта компьютера было изменено, вы увидите новое значение здесь.

AllowedToDelegateTo [Type = UnicodeString]: список spNs, к которым эта учетная запись может представлять делегированные учетные данные. Можно изменить с помощью консоли управления Active Directory Users and Computers в вкладке Делегирования учетной записи компьютера. Если список SPNs на вкладке Делегирования учетной записи компьютера был изменен, вы увидите новый список SPNs в поле AllowedToDelegateTo (обратите внимание, что новый список будет вместо изменений) этого события. Это пример AllowedToDelegateTo:

Если значение атрибута msDS-AllowedToDelegateTo объекта компьютера было изменено, вы увидите новое значение здесь.

Значение может быть, например, если делегирования была отключена.

Имя главного клиента службы (SPN) — это имя, с помощью которого клиент однозначно идентифицирует экземпляр службы. Если вы устанавливаете несколько экземпляров службы на компьютерах по всему лесу, каждый экземпляр должен иметь свой собственный SPN. В данном экземпляре службы может быть несколько spNs, если существует несколько имен, которые клиенты могут использовать для проверки подлинности. Например, spN всегда включает имя хост-компьютера, на котором работает экземпляр службы, поэтому экземпляр службы может зарегистрировать SPN для каждого имени или псевдонима своего хоста.

Старое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включение, скрипт и другое поведение для учетной записи пользователя или компьютера. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта компьютера.

Новое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включение, скрипт и другое поведение для учетной записи пользователя или компьютера. Если значение атрибута userAccountControl объекта компьютера было изменено, вы увидите новое значение здесь.

Чтобы расшифровать это значение, можно пройти через определения значений свойств в "Таблице 7". Флаги UAC учетной записи пользователя или компьютера". от крупнейшего до наименьшего. Сравните каждое значение свойства со значением флагов в событии. Если значение флагов в событии больше или равно значению свойства, свойство "set" и применяется к этому событию. Вычитать значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу.

Вот пример: значение Флаги из события: 0x15

0x0020 > 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию

0x2 > 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию

0x1 = 0x1, поэтому SCRIPT применяется к этому событию. 0x1 - 0x1 = 0x0, мы закончили.

Таким образом, это значение флагов UAC декодирует: LOCKOUT и SCRIPT

Управление учетной записью пользователя [Type = UnicodeString]: показывает список изменений атрибута userAccountControl. Вы увидите строку текста для каждого изменения. Возможные значения см. здесь: "Таблица 7. Флаги UAC учетной записи пользователя или компьютера". В столбце "Текст поля управления учетной записью пользователя" можно **** увидеть текст, который будет отображаться в поле Управления учетной записью пользователя в событии 4742.

Параметры пользователя [Тип = UnicodeString]: если вы измените любой параметр с помощью консоли управления пользователями Active Directory и компьютерами в вкладке Dial-in свойств учетной записи компьютера, то вы увидите в этом поле.

История SID [Type = UnicodeString]: содержит предыдущие СИД, используемые для объекта, если объект был перемещен из другого домена. Всякий раз, когда объект перемещается из одного домена в другой, создается новый SID и становится объектомSID. Предыдущий SID добавляется в свойство sIDHistory. Если значение атрибута sIDHistory объекта компьютера было изменено, вы увидите новое значение здесь.

Часы logon [Type = UnicodeString]: часы, в которые учетная запись может быть относяться к домену. Если значение атрибута logonHours объекта компьютера было изменено, вы увидите новое значение здесь. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью пользователей и компьютеров Active Directory или, например, с помощью скрипта.

Вот пример поля Имен главных служб для нового домена, присоединилось к рабочей станции в случае 4742 на контроллере домена, после перезагрузки рабочей станции:

Дополнительные сведения:

Привилегии [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - . Полный список привилегий пользователей см. в таблице "Таблица 8. Привилегии пользователей.".

Вирус изменяет учетную запись

Аннотация

Признаки заражения

Методы распространения

Защита

Действия по устранению последствий

Блокирование распространения вируса Win32/Conficker с помощью групповой политики

Создание объекта групповой политики

Восстановление

Запустите средство проверки безопасности (Майкрософт).

Удаление вируса Win32/Conficker вручную

Рекомендации по контролю безопасности