Подробный разбор события безопасности 4733 в Windows: удаление участника из локальной группы

Что такое событие безопасности 4733 в Windows. Когда оно генерируется. Какую информацию содержит. Как его анализировать и использовать для мониторинга безопасности. На что обратить внимание при просмотре журналов с этим событием.

Что представляет собой событие безопасности 4733 в Windows

Событие безопасности 4733 генерируется в Windows каждый раз, когда участник удаляется из локальной группы безопасности. Это важное событие для мониторинга изменений в составе привилегированных групп.

Ключевые особенности события 4733:

  • Фиксирует факт удаления пользователя или другой учетной записи из локальной группы безопасности
  • Содержит информацию о том, кто именно был удален и из какой группы
  • Регистрируется на контроллерах домена, серверах и рабочих станциях
  • Для каждого удаленного участника создается отдельное событие

Когда и где генерируется событие 4733

Событие 4733 создается в следующих случаях:

  • Администратор удаляет пользователя из локальной группы через оснастку «Локальные пользователи и группы»
  • Выполняется скрипт или программа, удаляющая участника группы через API Windows
  • Групповая политика применяет изменения в составе локальных групп

Это событие регистрируется в журнале безопасности Windows и доступно для просмотра через стандартные средства, такие как «Просмотр событий».


Структура и содержание события 4733

Событие 4733 содержит следующие основные блоки информации:

Субъект (инициатор операции)

  • SID — идентификатор безопасности учетной записи, выполнившей удаление
  • Имя учетной записи
  • Домен учетной записи
  • Идентификатор входа

Удаленный участник

  • SID удаленного участника
  • Имя удаленного участника (обычно в формате различающегося имени)

Группа

  • SID группы, из которой удален участник
  • Имя группы
  • Домен группы

Как анализировать событие 4733

При анализе события 4733 следует обратить внимание на следующие аспекты:

  • Кто инициировал удаление (поле Subject\Security ID)
  • Из какой группы был удален участник (поле Group\Group Name)
  • Кто именно был удален (поле Member\Security ID)
  • Время совершения операции

Важно сопоставлять это событие с другими связанными событиями безопасности, например:

  • 4732 — добавление участника в группу
  • 4735 — изменение локальной группы безопасности

Рекомендации по мониторингу события 4733

При настройке мониторинга события 4733 рекомендуется:


  • Отслеживать удаление участников из критически важных групп (например, локальных администраторов)
  • Контролировать использование привилегированных учетных записей для таких операций
  • Анализировать нетипичное время или частоту удаления участников
  • Сопоставлять с запросами на изменение прав доступа

Потенциальные угрозы безопасности, связанные с событием 4733

Событие 4733 может указывать на следующие потенциальные угрозы:

  • Несанкционированное удаление пользователей из привилегированных групп
  • Попытки скрыть следы компрометации учетной записи
  • Ошибки администрирования, приводящие к потере доступа
  • Целенаправленное понижение привилегий легитимных пользователей

Как использовать событие 4733 для усиления безопасности

Правильный анализ события 4733 позволяет:

  • Контролировать изменения в составе привилегированных групп
  • Выявлять подозрительную активность с учетными записями
  • Обеспечивать соблюдение политик безопасности
  • Реагировать на несанкционированные изменения прав доступа

Регулярный аудит этого события помогает поддерживать актуальное состояние групп безопасности и предотвращать потенциальные угрозы.


Часто задаваемые вопросы о событии 4733

Вот ответы на некоторые распространенные вопросы об этом событии:

Чем отличается событие 4733 от 4732?

Событие 4732 фиксирует добавление участника в группу, а 4733 — удаление. Они являются парными событиями.

Генерируется ли 4733 при удалении участника из группы домена?

Нет, 4733 регистрируется только для локальных групп. Для групп домена используется событие 4757.

Можно ли отключить регистрацию события 4733?

Не рекомендуется отключать аудит этого события, так как оно важно для контроля изменений в группах безопасности. При необходимости можно настроить фильтрацию в средствах мониторинга.

Заключение

Событие безопасности 4733 является важным индикатором изменений в составе локальных групп Windows. Его правильный анализ и мониторинг позволяет контролировать права доступа пользователей и выявлять потенциальные угрозы безопасности. При настройке системы мониторинга важно уделить особое внимание этому событию.


4733(S) Участник был удален из локальной группы с поддержкой безопасности. (Windows 10) — Windows security

Twitter LinkedIn Facebook Адрес электронной почты

  • Статья
  • Чтение занимает 6 мин

Подкатегории:  Аудит управления группами безопасности

Описание события:

Это событие возникает при каждом удалении участника из локальной группы с поддержкой безопасности (безопасности).

Это событие создается на контроллерах домена, рядовых серверах и рабочих станциях.

Для каждого удаленного элемента вы получите отдельное событие 4733.

Обычно отображается сообщение «4735: локальная группа с поддержкой безопасности изменена». событие без каких-либо изменений до события 4733.

Примечание.  Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.


XML события:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4733</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13826</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-19T16:51:00.
376806500Z" /> <EventRecordID>175037</EventRecordID> <Correlation /> <Execution ProcessID="520" ThreadID="1524" /> <Channel>Security</Channel> <Computer>DC01.contoso.local</Computer> <Security /> </System> - <EventData> <Data Name="MemberName">CN=Auditor,CN=Users,DC=contoso,DC=local</Data> <Data Name="MemberSid">S-1-5-21-3457937927-2839227994-823803824-2104</Data> <Data Name="TargetUserName">AccountOperators</Data> <Data Name="TargetDomainName">CONTOSO</Data> <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6605</Data> <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> <Data Name="SubjectUserName">dadmin</Data> <Data Name="SubjectDomainName">CONTOSO</Data> <Data Name="SubjectLogonId">0x35e38</Data> <Data Name="PrivilegeList">-</Data> </EventData> </Event>

Необходимые роли сервера: нет.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии события: 0.

Описания полей:

Тема:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей операцию «удалить участника из группы». Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Примечание.  . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.

  • Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашивающей операцию «удалить участника из группы».

  • Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное имя домена в нижнем регистре: contoso. local

    • Полное имя домена в верхнем регистре: CONTOSO.LOCAL

    • Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».

    • Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».

  • Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Член:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, которая была удалена из группы. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя группы. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

  • Имя учетной записи [Type = UnicodeString]: различающееся имя учетной записи, которая была удалена из группы. Например: «CN=Auditor,CN=Users,DC=contoso,DC=local». Для локальных групп это поле обычно имеет значение ««, даже если удаленный участник является учетной записью домена. Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, это поле имеет значение «-«.

Примечание   API LDAP ссылается на объект LDAP по его различающееся имя (DN). DN — это последовательность относительных различаемых имен (RDN), соединенных запятыми.

RDN — это атрибут со связанным значением в форме attribute=value; . Ниже приведены примеры атрибутов RDN:

• Контроллер домена — domainComponent

• CN — commonName

• Подразделение — организационныйUnitName

• O — organizationName

Группа:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности группы, из которой был удален член. Просмотр событий автоматически пытается разрешить идентификаторы безопасности и отобразить имя группы. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

  • Имя группы [Type = UnicodeString]: имя группы, из которой был удален член. Например: ServiceDesk

  • Домен группы [Type = UnicodeString]: домен или имя компьютера группы, из которой был удален член. Форматы различаются и включают в себя следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное имя домена в нижнем регистре: contoso.local

    • Полное имя домена в верхнем регистре: CONTOSO.LOCAL

    • Для локальной группы это поле будет содержать имя компьютера, к которому принадлежит эта новая группа, например «Win81».
    • Встроенные группы: Builtin

Дополнительные сведения:

  • Privileges [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть записан в событии и в этом случае отображается как «-«. Полный список привилегий пользователей см. в таблице 8. Привилегии пользователя.».

Рекомендации по контролю безопасности

Для 4733(S): участник был удален из локальной группы с поддержкой безопасности.

Тип требуемого мониторингаРекомендации
Удаление участников из локальных групп безопасности или групп безопасности домена: Может потребоваться отслеживать удаление участников из локальных групп безопасности или групп безопасности домена.Если необходимо отслеживать каждый раз, когда участник удаляется из локальной группы безопасности или группы безопасности домена, отслеживайте это событие, чтобы узнать, кто и когда добавил участника.
Как правило, это событие используется в качестве информационного события, которое при необходимости проверяется.
Высокоценные локальные или доменные группы безопасности: У вас может быть список критически важных локальных групп безопасности или групп безопасности домена в организации, и вам потребуется специально отслеживать эти группы для удаления участников (или для других изменений).
Примерами критически важных локальных или доменных групп являются встроенные локальные администраторы, администраторы домена, администраторы предприятия и т. д.
Отслеживайте это событие с помощью значений Group**\Group Name** , соответствующих высокоценным локальным или доменным группам безопасности.
Локальные группы безопасности или группы безопасности домена с обязательными участниками. Может потребоваться убедиться, что для определенных локальных групп безопасности или групп безопасности домена определенные участники никогда не удаляются.Отслеживайте это событие с помощью параметра «Group\Group Name» , соответствующего интересующей группе, и «Member\Security ID» участников, которые не должны быть удалены.
Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие.
Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т. д.
Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют высокоценной учетной записи или учетным записям.
Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время.При мониторинге аномалий или вредоносных действий используйте «Subject\Security ID» (с другими сведениями), чтобы отслеживать, как и когда используется определенная учетная запись.
Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться.Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют учетным записям, которые никогда не должны использоваться.
Список разрешенных учетных записей: возможно, у вас есть список разрешенных учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям.Если это событие соответствует действию allowlist-only, проверьте «Subject\Security ID» для учетных записей, которые находятся за пределами списка разрешений.
Учетные записи различных типов: вам может потребоваться, чтобы определенные действия выполнялись только учетными записями определенных типов, например локальными учетными записями или учетными записями домена, учетными записями компьютеров или пользователей, учетными записями поставщиков или сотрудников и т. д.Если это событие соответствует действию, которое вы хотите отслеживать для определенных типов учетных записей, просмотрите «Subject\Security ID» , чтобы узнать, соответствует ли тип учетной записи ожидаемым.
Внешние учетные записи: вам может потребоваться отслеживать учетные записи из другого домена или «внешние» учетные записи, которым не разрешено выполнять определенные действия (представленные определенными событиями).Отслеживайте это событие для «Subject\Account Domain» , соответствующего учетным записям из другого домена или «внешних» учетных записей.
Ограничение использования компьютеров или устройств: у вас могут быть определенные компьютеры или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять никаких действий.Мониторинг целевого компьютера (или другого целевого устройства) на наличие действий, выполняемых «Subject\Security ID» , о которых вас беспокоит.
Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей.Отслеживайте «Subject\Account Name» для имен, которые не соответствуют соглашениям об именовании.

Обратная связь

Просмотреть все отзывы по странице

4733 Подвесная люстра Mantra Loewe 4733, цена 60681 руб.

Подвесная люстра Mantra Loewe 4733

60 681 ₽

В корзину

В корзине

Перейти

Код товара: 58182

Артикул: 4733

Бренд: Mantra

Поделиться

В избранное В избранном

Сравнить

Подвесная люстра Mantra Loewe 4733

В избранное В избранном

Сравнить

60 681 ₽

Гарантия лучшей цены

В корзину

В корзине

Перейти

Самовывоз со склада:
сегодня, 22 февраля — бесплатно

Доставка по городу: Денвер

Доставляем в Денвер, стоимость и срок доставки уточняйте у менеджера.

При заказе от 20 000 ₽ стоимость доставки по России — бесплатно

Подробнее о доставке

21 день на возврат товара

Установка и монтаж с расширенной гарантией

Способы оплаты: Visa, MasterCard, МИР, Uniteller, Халва

Все

Люстры подвесные

Бра настенные

Настольные лампы

Подвесные светильники

Потолочные светильники

Посмотреть все товары этой серии

33 936 ₽

Потолочный светильник Mantra Loewe 4640

Код: 58178

Mantra (Испания)

138 520 ₽

Подвесная люстра Mantra Loewe 4730

Код: 91914

Mantra (Испания)

18 368 ₽

Интерьерная настольная лампа Mantra Loewe 4737

Код: 91916

Mantra (Испания)

18 368 ₽

Интерьерная настольная лампа Mantra Loewe 4637

Код: 58175

Mantra (Испания)

16 970 ₽

Бра Mantra Loewe 4735

Код: 58184

Mantra (Испания)

95 009 ₽

Подвесная люстра Mantra Loewe 4632

Код: 58170

Mantra (Испания)

16 970 ₽

Бра Mantra Loewe 4635

Код: 58173

Mantra (Испания)

91 818 ₽

Подвесная люстра Mantra Loewe 4731

Код: 58180

Mantra (Испания)

138 520 ₽

Подвесная люстра Mantra Loewe 4630

Код: 58168

Mantra (Испания)

41 920 ₽

Подвесной светильник Mantra Loewe 4739

Код: 58188

Mantra (Испания)

Описание

Люстра подвесная 4733 из серии Loewe от компании Mantra регулируется по высоте и устанавливается на металлический крюк. Современная люстра прекрасно подойдет в качестве источника основного света для гостиной, прихожей и коридора, кафе, кабинета, оформленных в стиле модерн. Основной цвет модели — белый, материал арматуры — металл. Люстра имеет 3 абажура со свечением вверх, материал изготовления — стекло, органза. Модель оснащена цоколем E14, имеет 3 лампочки с общей мощностью 39W и напряжением 220V. Светильник поддерживает подключение диммера. Габариты: диаметр — 500 мм. Лучшая цена и условия доставки на Mantra 4733 в интернет-магазине Fedomo.ru.

Помощь экспертов

Характеристики

Размеры упаковки

Длина тары, см

47

Ширина тары, см

43

Высота тары, см

53

Размеры

Высота минимальная, мм

600

Возможность регулировки по высоте

Диаметр, мм

500

Вес, кг

5,8

Материалы и цвета

Цвет плафонов

Цвет основания

Латунь

Материал плафона

Органза

Материал основания

Металл

Характеристики источника света

Площадь освещения, кв. м

8

Количество плафонов и абажуров, шт

3

Цоколь

Тип ламп

Кол-во ламп, шт

Мощность ламп, Вт

Общая мощность, Вт

60

Вид рассеивателя

Абажур

Возможность подключения диммера

Лампочки в комплекте

Производитель

Бренд

Mantra

Серия

Mantra Loewe

Страна

Испания

Гарантии

Гарантия производителя, месяц

12

Сертификаты

Ростест (Система сертификации ГОСТ Р)

Подробнее

Помещение

гостиная

,

прихожая и коридор

,

кафе

,

кабинет

Технические особенности

Регулировка по высоте

Степень защиты, IP

Способ крепления

металлический крюк

Модерн

,

Современный

Место установки

Потолок

Напряжение питания, В

Диапазон температур эксплуатации

комнатная температура

Тип товара

Люстра подвесная

Тип подвеса

Отзывы о товаре: 0

Нет оценок

Написать отзыв

Посмотреть все похожие товары

Показать все характеристики Свернуть характеристики

На рынке светотехники с 2009 года

Даем 2 года гарантии на светотехнику

Доставка во все регионы России без предоплаты

Лампочка светодиодная E14 6 Вт свеча белая Elektrostandard BLE1423

Код: 358915

Elektrostandard (Россия)

Лампочка светодиодная белая свеча на ветру E14 9W Feron 55130

Код: 375570

Feron (Китай)

Лампочка светодиодная груша белая колба E14 7 Вт 2700K теплое белое свечение Feron 25513

Код: 305372

Feron (Китай)

Лампочка светодиодная Voltega Simple 8454

Код: 414742

Voltega (Германия)

Лампочка светодиодная филаментная E14 5 Вт 550 lm 4000K нейтральное белое свечение Feron 25576

Код: 305962

Feron (Китай)

Лампочка светодиодная Voltega Globe dim 5W 8465

Код: 419597

Voltega (Германия)

Светодиодная лампа Свеча 7W 4200K E14 (C35 прозрачный) BLE1412 (a049116)

Код: 305560

Elektrostandard (Россия)

Лампочка светодиодная филаментная E14 7W 220V шар прозрачная 2700K Feron 25874

Код: 327925

Feron (Китай)

Лампочка светодиодная филаментная E14 7W 220V свеча на ветру прозрачная 2700K Feron 25872

Код: 327954

Feron (Китай)

Лампочка светодиодная шар белая колба E14 9 Вт 6400K холодное белое свечение Feron 25803

Код: 305420

Feron (Китай)

4733(S) Участник удален из локальной группы с включенной безопасностью.

(Windows 10)

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья
  • 6 минут на чтение

Подкатегория:  Аудит управления группой безопасности

Описание события:

Это событие генерируется каждый раз, когда член был удален из локальной группы с включенной безопасностью (безопасность).

Это событие генерируется на контроллерах домена, рядовых серверах и рабочих станциях.

Для каждого удаленного участника вы получите отдельное событие 4733.

Обычно вы видите «4735: локальная группа с поддержкой безопасности была изменена». событие без каких-либо изменений в нем до события 4733.

Примечание   Рекомендации см. в разделе Рекомендации по мониторингу безопасности для этого события.


XML события:

 - 
- <Система>
 
 4733
 <Версия>0
 <Уровень>0
 <Задача>13826
 <Код операции>0
 <Ключевые слова>0x8020000000000000
 
 175037
 <Корреляция />
 
 <Канал>Безопасность
 <Компьютер>DC01.contoso.local
 <Безопасность/>
 
- <Данные События>
 CN=Auditor,CN=Users,DC=contoso,DC=local
 S-1-5-21-3457937927-2839227994-823803824-2104
 Операторы аккаунта
 CONTOSO
 S-1-5-21-3457937927-2839227994-823803824-6605
 S-1-5-21-3457937927-2839227994-823803824-1104
 dadmin
 CONTOSO
 0x35e38
 -
 
 
 

Требуемые роли сервера: Нет.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии событий: 0.

Описания поля:

Тема:

  • Идентификатор безопасности [Тип = SID] : SID SID of of of Security. из группы». Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.

Примечание   Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный SID, выдаваемый органом власти, например контроллером домена Active Directory, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Когда SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать снова для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах SID см. в разделе Идентификаторы безопасности.

  • Имя учетной записи [Type = UnicodeString] : имя учетной записи, которая запросила операцию «удалить участника из группы».

  • Домен учетной записи [Type = UnicodeString] : домен субъекта или имя компьютера. Форматы различаются и включают следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное доменное имя в нижнем регистре: contoso.local

    • Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

    • Для некоторых известных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля — «NT AUTHORITY».

    • Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, которому принадлежит эта учетная запись, например: «Win81».

  • Идентификатор входа в систему [Type = HexInt64] : шестнадцатеричное значение, которое может помочь вам сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа, например, «4624: учетная запись была успешно зарегистрирована».

Участник:

  • Идентификатор безопасности [Type = SID] : SID учетной записи, которая была удалена из группы. Средство просмотра событий автоматически пытается разрешить SID и показать имя группы. Если SID не может быть разрешен, вы увидите исходные данные в событии.

  • Имя учетной записи [Type = UnicodeString]: различающееся имя учетной записи, которая была удалена из группы. Например: «CN=Auditor,CN=Users,DC=contoso,DC=local». Для локальных групп это поле обычно имеет значение «9».0020–», даже если удаленный член является учетной записью домена. Для некоторых известных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля равно «-».

Примечание   API LDAP ссылается на объект LDAP по его различающемуся имени (DN) . DN — это последовательность относительных отличительных имен (RDN), соединенных запятыми.

RDN — это атрибут со связанным значением в форме атрибут=значение; . Вот примеры атрибутов RDN:

• DC — компонент домена

• CN — общее имя

• Подразделение — OrganizationUnitName

• O — название организации

Группа:

  • Идентификатор безопасности [Type = SID] : SID группы, из которой был удален участник. Средство просмотра событий автоматически пытается разрешить SID и показать имя группы. Если SID не может быть разрешен, вы увидите исходные данные в событии.

  • Имя группы [Type = UnicodeString] : имя группы, из которой был удален участник. Например: Служба поддержки

    .
  • Домен группы [Type = UnicodeString]: имя домена или компьютера группы, из которой был удален участник. Форматы различаются и включают следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное доменное имя в нижнем регистре: contoso.local

    • Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

    • Для локальной группы это поле будет содержать имя компьютера, которому принадлежит эта новая группа, например: «Win81».
    • Встроенные группы: Встроенные

Дополнительная информация:

  • Привилегии [Type = UnicodeString]: список привилегий пользователя, которые использовались во время операции, например, SeBackupPrivilege. Этот параметр может не быть зафиксирован в событии и в этом случае отображается как «-». См. полный список привилегий пользователя в «Таблица 8. Привилегии пользователя».

Для 4733(S): Член был удален из локальной группы с включенной безопасностью.

Требуемый тип мониторинга Рекомендация
Удаление членов из локальных или доменных групп безопасности: Возможно, вам потребуется отслеживать удаление членов из локальных или доменных групп безопасности. Если вам нужно отслеживать каждый раз, когда член удаляется из локальной группы безопасности или группы безопасности домена, чтобы увидеть, кто и когда добавил члена, отслеживайте это событие.
Обычно это событие используется как информационное событие, которое можно просмотреть при необходимости.
Важные локальные или доменные группы безопасности: У вас может быть список критических локальных или доменных групп безопасности в организации, и вам необходимо специально отслеживать эти группы на предмет удаления членов (или других изменений).
Примерами критических локальных групп или групп домена являются встроенная группа локальных администраторов, администраторы домена, администраторы предприятия и т. д.
Отслеживайте это событие со значениями « Group\Group Name» , которые соответствуют локальным или доменным группам безопасности с высоким значением.
Локальные или доменные группы безопасности с обязательными членами : Вам может потребоваться убедиться, что для определенных локальных или доменных групп безопасности никогда не удаляются определенные члены. Отслеживайте это событие с помощью « Group\Group Name» , которая соответствует интересующей группе, и «Member\Security ID» участников, которых нельзя удалять.
Учетные записи с высокой стоимостью : У вас могут быть важные доменные или локальные учетные записи, для которых вам необходимо отслеживать каждое действие.
Примерами важных учетных записей являются учетные записи администраторов базы данных, встроенная учетная запись локального администратора, администраторы домена, учетные записи служб, учетные записи контроллера домена и т. д.
Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют учетной записи или учетным записям с высоким значением.
Аномалии или злонамеренные действия : У вас могут быть особые требования для обнаружения аномалий или мониторинга потенциальных вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи в нерабочее время. При отслеживании аномалий или злонамеренных действий используйте «Идентификатор субъекта\безопасности» (с другой информацией) для отслеживания того, как и когда используется конкретная учетная запись.
Неактивные счета : У вас могут быть неактивные, отключенные или гостевые учетные записи или другие учетные записи, которые никогда не следует использовать. Отслеживайте это событие с помощью «Subject\Security ID» и «Member\Security ID» , которые соответствуют учетным записям, которые никогда не должны использоваться.
Белый список учетных записей : У вас может быть определенный белый список учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям. Если это событие соответствует действию «только для белого списка», просмотрите «Subject\Security ID» для учетных записей, не входящих в белый список.
Учетные записи разных типов : Возможно, вы захотите убедиться, что определенные действия выполняются только учетными записями определенных типов, например, локальная учетная запись или учетная запись домена, учетная запись компьютера или пользователя, учетная запись поставщика или сотрудника и т. д. Если это событие соответствует действию, которое вы хотите отслеживать для определенных типов учетных записей, просмотрите «Идентификатор субъекта\безопасности» , чтобы узнать, соответствует ли тип учетной записи ожидаемому.
Внешние учетные записи : Возможно, вы отслеживаете учетные записи из другого домена или «внешние» учетные записи, которым не разрешено выполнять определенные действия (представленные определенными событиями). Отслеживайте это событие для «Subject\Account Domain» , соответствующего учетным записям из другого домена или «внешним» учетным записям.
Компьютеры или устройства с ограниченным использованием : У вас могут быть определенные компьютеры, машины или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять какие-либо действия. Мониторинг целевого компьютера : (или другого целевого устройства) на предмет действий, выполняемых «Идентификатором субъекта\безопасности» , которые вас беспокоят.
Соглашения об именовании учетных записей : В вашей организации могут быть особые соглашения об именовании имен учетных записей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *