Auf meinem Windows 8.1-Desktop werden lsass.exeim Überwachungsprotokoll der Ereignisanzeige viele derartige Meldungen angezeigt :

An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E5

Additional Information:
    Caller Workstation: PETTER
    Target Account Name:    Administrator
    Target Account Domain:  PETTER

Es geht weiter hin und wieder für ein paar verschiedenen Zielkontonamen, wie Administrator, Guest, HomeGroupUser$usw. Diese Meldung erscheint auf bestimmte Intervallen unabhängig davon , ob ich mit dem Internet verbunden bin oder nicht.

Um sicherzustellen, dass keine böswillige Absicht dahinter steckt, führte ich eine Virenprüfung mit Malwarebytes, Trend Micro und AVG durch, die sich alle einig waren, dass das System tatsächlich sauber war.

Ich habe dann ein sauberes System neu installiert. Die Nachrichten tauchten nach einer Weile immer noch wieder auf.

Es scheint keine Rolle zu spielen, ob das System mit dem Netzwerk verbunden ist oder nicht. Selbst wenn das Netzwerkkabel nicht angeschlossen ist, werden diese Meldungen angezeigt. (Vielleicht nicht so seltsam, wenn man bedenkt, dass es als S-1-5-19"Local Service" ausgeführt wird.)

Seltsamerweise scheint es im Internet viele andere zu geben, die sich genau diesem Problem gestellt haben, aber die Themen und Fragen dort bleiben unbeantwortet.

Woher stammen diese Nachrichten und warum wird ständig nach leeren Passwörtern gesucht?

Hier ist die Ausgabe von auditpol:

C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.

C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure
  User / Device Claims                    No Auditing
Object Access
  File System                             No Auditing
  Registry                                No Auditing
  Kernel Object                           No Auditing
  SAM                                     No Auditing
  Certification Services                  No Auditing
  Application Generated                   No Auditing
  Handle Manipulation                     No Auditing
  File Share                              No Auditing
  Filtering Platform Packet Drop          No Auditing
  Filtering Platform Connection           No Auditing
  Other Object Access Events              No Auditing
  Detailed File Share                     No Auditing
  Removable Storage                       No Auditing
  Central Policy Staging                  No Auditing
Privilege Use
  Non Sensitive Privilege Use             No Auditing
  Other Privilege Use Events              No Auditing
  Sensitive Privilege Use                 No Auditing
Detailed Tracking
  Process Creation                        No Auditing
  Process Termination                     No Auditing
  DPAPI Activity                          No Auditing
  RPC Events                              No Auditing
Policy Change
  Authentication Policy Change            Success
  Authorization Policy Change             No Auditing
  MPSSVC Rule-Level Policy Change         No Auditing
  Filtering Platform Policy Change        No Auditing
  Other Policy Change Events              No Auditing
  Audit Policy Change                     Success
Account Management
  User Account Management                 Success
  Computer Account Management             No Auditing
  Security Group Management               Success
  Distribution Group Management           No Auditing
  Application Group Management            No Auditing
  Other Account Management Events         No Auditing
DS Access
  Directory Service Changes               No Auditing
  Directory Service Replication           No Auditing
  Detailed Directory Service Replication  No Auditing
  Directory Service Access                No Auditing
Account Logon
  Kerberos Service Ticket Operations      No Auditing
  Other Account Logon Events              No Auditing
  Kerberos Authentication Service         No Auditing
  Credential Validation                   No Auditing

Das ist normal, keine Panik.

Eines dieser Ereignisse wird für jedes lokale Konto protokolliert, wenn eines der beiden folgenden Ereignisse eintritt:

1. Die Benutzerkachel auf dem Startbildschirm wird gedrückt, um die Dropdown-Liste der kontobezogenen Optionen abzurufen:

   

   In diesem Fall ist der Betreff der aktuell angemeldete Benutzer (ich, im obigen Screenshot). Die Ereignisse werden auch auf Computern mit Domänenbeitritt protokolliert, auf denen im resultierenden Menü keine lokalen Konten angezeigt werden.

2. Die Anmelde-Benutzeroberfläche zeigt die Liste der lokalen Benutzer an, bei denen Sie angemeldet sein können. In diesem Fall ist der Betreff NT AUTHORITY\LOCAL SERVICE. Die Ereignisse werden nicht auf Computern mit Domänenbeitritt protokolliert, auf denen nur ein Benutzername und ein Kennwort eingegeben werden.

Was das Ereignis bedeutet, steht auf dem Zinn - eine Anwendung, die als Betreff ausgeführt wird und auf ein leeres Kennwort für das durch den Zielkontonamen angegebene Konto getestet wurde. Windows tut dies, damit Benutzer nicht zur Eingabe von Kennwörtern aufgefordert werden müssen, die sie nicht haben. Es wäre für einige Leute verwirrend, ein Passwortfeld zu sehen, bevor sie sich anmelden, wenn sie kein Passwort haben.

Windows sollte diese Überprüfung erst durchführen müssen, wenn der Benutzer auf dem Anmeldebildschirm oder in der Switch-Liste auf einen der anderen Benutzer klickt.

Sicherheitsüberprüfungen

Sicherheitsüberwachung ist ein leistungsstarkes Tool zur Aufrechterhaltung der Sicherheit eines Unternehmens. Die Prüfung kann für eine Vielzahl von Zwecken verwendet werden, einschließlich forensischer Analyse, Einhaltung gesetzlicher Vorschriften, Überwachung der Benutzeraktivität und Fehlerbehebung.

Mithilfe von Windows-Sicherheits- und Systemprotokollen können Sie ein System zur Verfolgung von Sicherheitsereignissen erstellen, Netzwerkaktivitäten aufzeichnen und speichern, die mit potenziell schädlichen Verhaltensweisen verbunden sind, und diese Risiken mindern.

_{Quelle: Übersicht über die Sicherheitsüberwachung}

Sicherheitsüberprüfungen sind in verschiedene Kategorien unterteilt, z. B. Registrierungs- und Dateisystemzugriff, fehlgeschlagene Anmeldeversuche und Änderungen an Benutzerkonten. Bestimmte Kategorien sind standardmäßig aktiviert. Um eine Liste der verfügbaren zu erhalten, können Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen :

auditpol /get /category:*

Ereignis 4797

So sieht ein typisches Ereignis aus:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          6/29/2014 10:39:58 AM
Event ID:      4797
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:           0x3E5

Additional Information:
    Caller Workstation:     <ComputerName>
    Target Account Name:    Administrator
    Target Account Domain:  <DomainName>

Wie Sie sehen, ist die Kategorie Benutzerkontenverwaltung , die Überwachungsereignisse in Bezug auf Benutzerkonten generiert. Im Gegensatz zu anderen scheint dieses spezielle Ereignis nicht dokumentiert zu sein.

Deaktivieren Sie alle Überwachungsrichtlinien

Um zu bestätigen, ob die integrierte Sicherheitsüberwachungsfunktion der Schuldige ist, können Sie alle Überwachungsrichtlinien vorübergehend löschen und somit deaktivieren.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

2. Erstellen Sie eine Sicherungskopie der Überwachungsrichtlinien, indem Sie diesen Befehl ausführen:

   auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"
   

   Stellen Sie sicher, dass die Datei korrekt gespeichert wurde. Es sollte sich auf dem Desktop befinden. Falls dies nicht der Fall ist, wählen Sie einen anderen Dateipfad und versuchen Sie es erneut.

3. Deaktivieren Sie alle Überwachungsrichtlinien:

   auditpol /clear
   

4. Starten Sie Windows neu und prüfen Sie, ob immer noch dieselben Ereignisse angezeigt werden. Führen Sie den folgenden Befehl aus, um die zuvor erstellte Richtliniensicherung wiederherzustellen:

   auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
   

Weiterführende Literatur

• Übersicht über die Sicherheitsüberwachung
• Audit User Account Management

Wir hatten dies auf mehreren Systemen in unserem Unternehmen, also gingen wir direkt zu Microsoft:

"Gemäß meiner Feststellung bezüglich der Ereignis-ID 4947" Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto abzufragen. "Sie erhalten dieses Ereignis, wenn für" Benutzerkontenverwaltung "die Option" Überwachung aktivieren "aktiviert ist.

Die Prüfungsstufe ist informativ und keine Warnung oder ein Fehler. Dieses Ereignis kann ignoriert werden, da es nur zu Informationszwecken dient und um zu überprüfen, ob der Benutzer zufällig auf ein leeres Kennwort eingestellt ist. Sie sehen dieses Ereignis nur, wenn nur die Überwachung aktiviert ist und dieses Ereignis keinen Verstoß gegen das System bedeutet. "

Windows 10, Die "Informations" -Nachricht: Ereignis-ID 4947, "Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto abzufragen." begann im System zu erscheinen, Ereignisanzeige .... Ich war besorgt. Fehlerbehebung, um zu sehen, warum diese Meldung plötzlich angezeigt wird. UAC "Berechtigungen" sehr begrenzt, dann erinnerte ich mich, ich hatte Zugriff auf / für Apps gewährt.

Umgekehrt, nicht mehr geplagt von "Es wurde versucht, das Vorhandensein eines leeren Passworts für ein Konto abzufragen."

Hinweis für sich selbst: Nicht% ^ # $ @ $ mit Dingen herumspielen, die nicht kaputt sind!