Hola, hallamos la solución a lo que necesitas, deslízate y la verás a continuación.
Solución:
Esto es normal, no te asustes.
Uno de estos eventos se registra para cada cuenta local cuando sucede una de estas dos cosas:
-
Se presiona el mosaico de usuario en la pantalla Inicio para obtener el menú desplegable de opciones relacionadas con la cuenta:
En este caso, el Sujeto es el usuario que ha iniciado sesión actualmente (yo, en la captura de pantalla anterior). Los eventos se registran incluso en máquinas unidas a un dominio donde no aparecen cuentas locales en el menú resultante.
- La interfaz de usuario de inicio de sesión parece mostrar la lista de usuarios locales en los que se puede iniciar sesión. En este caso, el Sujeto es
NT AUTHORITYLOCAL SERVICE
. Los eventos no se registran en máquinas unidas a un dominio donde solo se ingresan un nombre de usuario y una contraseña.
En cuanto a lo que significa el evento, es lo que dice en la lata: una aplicación que se ejecuta como el Sujeto probado para una contraseña en blanco en la cuenta especificada por el Nombre de la cuenta de destino. Windows hace eso para no tener que solicitar a los usuarios contraseñas que no tienen; sería confuso para algunas personas ver un cuadro de contraseña antes de iniciar sesión cuando no tienen contraseña.
Windows no debería necesitar hacer esa verificación hasta que el usuario haga clic en uno de los otros usuarios en la pantalla de inicio de sesión o en la lista de interruptores, pero lo hace.
Auditorías de seguridad
La auditoría de seguridad es una herramienta poderosa para ayudar a mantener la seguridad de una empresa. La auditoría se puede utilizar para una variedad de propósitos, incluido el análisis forense, el cumplimiento normativo, la supervisión de la actividad del usuario y la resolución de problemas.
Puede usar los registros del sistema y de seguridad de Windows para crear un sistema de seguimiento de eventos de seguridad, para registrar y almacenar actividades de red que están asociadas con comportamientos potencialmente dañinos y para mitigar esos riesgos.
Fuente: Descripción general de la auditoría de seguridad
Las auditorías de seguridad se dividen en diferentes categorías, como registro y acceso al sistema de archivos, intentos fallidos de inicio de sesión y cambios en las cuentas de usuario. Ciertas categorías están habilitadas de manera predeterminada. Para obtener una lista de los disponibles, puede ejecutar el siguiente comando desde un símbolo del sistema elevado:
auditpol /get /category:*
Evento 4797
Así es como se ve un evento típico:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 6/29/2014 10:39:58 AM
Event ID: 4797
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer:
Description:
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation:
Target Account Name: Administrator
Target Account Domain:
Como puede ver, la categoría es Gestión de cuentas de usuario, que genera eventos de auditoría relacionados con las cuentas de usuario. A diferencia de otros, este evento específico no parece estar documentado.
Deshabilitar todas las políticas de auditoría
Para confirmar si la función de auditoría de seguridad integrada es la culpable, puede borrar temporalmente todas las políticas de auditoría y deshabilitarlas.
-
Abra un símbolo del sistema elevado.
-
Realice una copia de seguridad de las políticas de auditoría ejecutando este comando:
auditpol /backup /file:"%userprofile%Desktopauditpol.bak"
Asegúrese de que el archivo se guardó correctamente. Debe estar ubicado en el escritorio. En caso de que no sea así, elija una ruta de archivo diferente y vuelva a intentarlo.
-
Deshabilitar todas las políticas de auditoría:
auditpol /clear
-
Reinicie Windows y compruebe si sigue recibiendo los mismos eventos. Para restaurar la copia de seguridad de la política que creó anteriormente, ejecute este comando:
auditpol /restore /file:"%userprofile%Desktopauditpol.bak"
Otras lecturas
- Descripción general de la auditoría de seguridad
- Gestión de cuentas de usuario de auditoría
Esto ocurrió en varios sistemas de nuestra empresa, así que fuimos directamente a Microsoft:
“Según mi hallazgo con respecto al ID de evento 4947 “Se intentó consultar la existencia de una contraseña en blanco para una cuenta”. Recibe este evento si tiene habilitada la auditoría para “Administración de cuentas de usuario”.
El Nivel de Auditoría es Informativo y no una Advertencia o Error. Este evento se puede ignorar de manera segura, ya que es solo para fines informativos y para verificar si, por casualidad, el usuario está configurado para una contraseña en blanco. Solo ve este evento si solo la auditoría está habilitada y este evento no implica ninguna violación en el sistema”
Si entiendes que te ha sido de ayuda este post, sería de mucha ayuda si lo compartes con más seniors de este modo contrubuyes a extender nuestro contenido.