Network service nt authority logon suspect
nico93
-
nico93 -
nico93 -
Bonjour,
j'ai recemment lu un tuto interessant sur la securite sous windows xp et j'ai commencé à m'interesser à l'observateur d'evenements de xp et les divers aspects qui s'y rattachent.
voilà ma question:
j'ai parametré mon xp pour qu'il audite les evenements de securité (notamment les logon et logout events).
j'ai observé des codes evenements 528 et 576 (event ID 528 et 576) generés par des actions liées au service "NT AUTHORITY/NETWORK SERVICE".voici les textes detaillés des dits evenements:
1/
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 576
Date: 08/11/2007
Time: 03:42:17
User: NT AUTHORITY\NETWORK SERVICE
Computer: NICOLAS
Description:
Special privileges assigned to new logon:
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
----------------------------_____________________________-----------------------------_____________________
2/
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 528
Date: 08/11/2007
Time: 03:42:17
User: NT AUTHORITY\NETWORK SERVICE
Computer: NICOLAS
Description:
Successful Logon:
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Logon Type: 5
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name:
Logon GUID: {00000000-0000-0000-0000-000000000000}
For more information, see Help and Support Center at https://support.microsoft.com/en-us
voila, mon xp n'heberge pas de serveur web (j'ai que des clients), je suis directement connecté au web en dsl, je ne suis pas en LAN et je n'ai pas non plus de VPN à declarer :-D bref internaute lamba.
alors je me demande si ces codes causés pas NT AUTHORITY/NETWORK SERVICE, sont legitimes ou s'il peuvent être les signes d'un acte de malveillance ou un de ces trucs qui vous detruit l'univers :-p, voyez de quoi je parle? lol
Dans le cas ou une personne experimentée me viendrait en aide, pourrait-elle me dire si ces services windows," NT authority et network service" sont necessaires (sont-ils lies a d'autres services indispensables? sont-ils des composant ASP.NET?ou Miicrosoft.net Framework? quels logiciels pourraient ne plus fonctionner correctement si je les desactive? constituent-ils des breches potentielles de securité?....) en bref: en pesant le pour et le contre (risques d'attaques contre instabilité systeme) ai-je interet, si c'est possible, de desactiver ces services que je trouve douteux et qui generent ces code dans mes logs de securité xp?
ça m'inquiete parce que j'ai lu dans le forum d'un site d'aide windows (site anglais) que le "Logon Process: Advapi " pouvait être un virus, et vu qu'il parait être à l'origine du code 528.....j'aimerais quand même bien être fixé sur les actions à tenir.
merci beaucoup pour votre aide
j'ai recemment lu un tuto interessant sur la securite sous windows xp et j'ai commencé à m'interesser à l'observateur d'evenements de xp et les divers aspects qui s'y rattachent.
voilà ma question:
j'ai parametré mon xp pour qu'il audite les evenements de securité (notamment les logon et logout events).
j'ai observé des codes evenements 528 et 576 (event ID 528 et 576) generés par des actions liées au service "NT AUTHORITY/NETWORK SERVICE".voici les textes detaillés des dits evenements:
1/
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 576
Date: 08/11/2007
Time: 03:42:17
User: NT AUTHORITY\NETWORK SERVICE
Computer: NICOLAS
Description:
Special privileges assigned to new logon:
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeChangeNotifyPrivilege
----------------------------_____________________________-----------------------------_____________________
2/
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 528
Date: 08/11/2007
Time: 03:42:17
User: NT AUTHORITY\NETWORK SERVICE
Computer: NICOLAS
Description:
Successful Logon:
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Logon Type: 5
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name:
Logon GUID: {00000000-0000-0000-0000-000000000000}
For more information, see Help and Support Center at https://support.microsoft.com/en-us
voila, mon xp n'heberge pas de serveur web (j'ai que des clients), je suis directement connecté au web en dsl, je ne suis pas en LAN et je n'ai pas non plus de VPN à declarer :-D bref internaute lamba.
alors je me demande si ces codes causés pas NT AUTHORITY/NETWORK SERVICE, sont legitimes ou s'il peuvent être les signes d'un acte de malveillance ou un de ces trucs qui vous detruit l'univers :-p, voyez de quoi je parle? lol
Dans le cas ou une personne experimentée me viendrait en aide, pourrait-elle me dire si ces services windows," NT authority et network service" sont necessaires (sont-ils lies a d'autres services indispensables? sont-ils des composant ASP.NET?ou Miicrosoft.net Framework? quels logiciels pourraient ne plus fonctionner correctement si je les desactive? constituent-ils des breches potentielles de securité?....) en bref: en pesant le pour et le contre (risques d'attaques contre instabilité systeme) ai-je interet, si c'est possible, de desactiver ces services que je trouve douteux et qui generent ces code dans mes logs de securité xp?
ça m'inquiete parce que j'ai lu dans le forum d'un site d'aide windows (site anglais) que le "Logon Process: Advapi " pouvait être un virus, et vu qu'il parait être à l'origine du code 528.....j'aimerais quand même bien être fixé sur les actions à tenir.
merci beaucoup pour votre aide
6 réponses
Salut,
Je remonte ce sujet très interessant car je me pose exactement les memes questions que Nico, j'avais déja posé une question similaire sur le forum sans réponse malheureusement j'espère vraiment qu'on aura plus de chance cette fois ci...c'est très important pour moi d'avoir une réponse svp !!!
Donc voilà j'ai exactement les memes infos que Nico dans le journal d'événements et je ne comprends pas car aucun réseau n'est censé accéder à mon ordinateur j'ai trouvé ça bizarre ( audit des privilèges 576...ouverture de session réseau réussie 528, à des heures où je ne suis pas sur le pc !!!!!!!!) ça m'a poussé a faire plus de fouilles dans le pc et là j'ai découvert que plusieurs comptes avec des SID inconnues c'étaient appropriés des fichiers perso, je n'étais plus propriétaire de ces fichiers !!!!!
J'ai vraiment besoin de votre aide pour comprendre comment cela a pu arriver et comment y remédier svp je suis perdue !!!!!!
Je remonte ce sujet très interessant car je me pose exactement les memes questions que Nico, j'avais déja posé une question similaire sur le forum sans réponse malheureusement j'espère vraiment qu'on aura plus de chance cette fois ci...c'est très important pour moi d'avoir une réponse svp !!!
Donc voilà j'ai exactement les memes infos que Nico dans le journal d'événements et je ne comprends pas car aucun réseau n'est censé accéder à mon ordinateur j'ai trouvé ça bizarre ( audit des privilèges 576...ouverture de session réseau réussie 528, à des heures où je ne suis pas sur le pc !!!!!!!!) ça m'a poussé a faire plus de fouilles dans le pc et là j'ai découvert que plusieurs comptes avec des SID inconnues c'étaient appropriés des fichiers perso, je n'étais plus propriétaire de ces fichiers !!!!!
J'ai vraiment besoin de votre aide pour comprendre comment cela a pu arriver et comment y remédier svp je suis perdue !!!!!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Up ! Moi les evenements 528 et 576 s'alternent pendant environ 2 minutes avant de me faire un ecran bleu en me disant que j'ai un problème de mémoire. Je sais pas si c'est une coincidence mais ça le fait souvent (1 fois tous les 2 jours)
Salut,
Désolé de répondre que maintenant mais j'avais plus de pc...
En fait j'ai rien de nouveau à apporter au jour d'aujourd'hui (salut Richard^^) sur la question, mais je voulais juste posté pour dire que je suis toujours ce topic et que ce serait bien si des personnes compétentes en la matière pouvaient avoir la gentillesse de nous apporter des informations précieuses au sujet de ce phénomène.
Voilà, salut à tous, et à plus tard j'espère avec quelques infos en plus...
Désolé de répondre que maintenant mais j'avais plus de pc...
En fait j'ai rien de nouveau à apporter au jour d'aujourd'hui (salut Richard^^) sur la question, mais je voulais juste posté pour dire que je suis toujours ce topic et que ce serait bien si des personnes compétentes en la matière pouvaient avoir la gentillesse de nous apporter des informations précieuses au sujet de ce phénomène.
Voilà, salut à tous, et à plus tard j'espère avec quelques infos en plus...
