Tenho muitas falhas de auditoria com a ID de evento 4625 e o tipo de Logon 3 no meu log de eventos.
Este problema é o meu servidor (serviços internos ou aplicativos)? Ou isso é ataque de força bruta? Finalmente Como posso encontrar a fonte desses logins e resolver o problema?
Esta é uma informação detalhada no separador Geral:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: aaman
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: test2
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
**And this is detailed information in Detail Tab:**
+ System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2015-05-09T06:57:00.043746400Z
EventRecordID 2366430
Correlation
- Execution
[ ProcessID] 696
[ ThreadID] 716
Channel Security
Computer WIN-24E2M40BR7H
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName aaman
TargetDomainName
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc0000064
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName test2
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress -
IpPort -
Eu tive o mesmo tipo de eventos em um servidor. Houve centenas de tentativas de login com diferentes nomes de usuário, mas nenhuma ID de processo ou endereço IP visível.
Tenho certeza que vinha de conexões RDP pela Internet sem autenticação no nível da rede.
Estes são os ataques de hackers. O objetivo dos atacantes é forçar a força das contas / senhas do seu servidor.
Eu sugeriria instalar um simples sistema de detecção de intrusão (IDS). Você pode querer considerar RDPGuard (comercial), IPBan, evlWatcher. Eu mesmo uso Cyberarms IDDS. Este é simples, tem uma interface amigável (requer o .NET Framework 4.0).
A ideia é simples: o IDS monitora o log de segurança de seu servidor em busca de eventos de falha de logon suspeitos. Em seguida, ele bloqueia o endereço IP (s), a tentativa veio de. Você também pode configurar um hard lock quando as tentativas dos IPs com bloqueio suave continuarem.
Por acaso houve um controlador de domínio sendo desligado quando isso aconteceu? Isso parece muito semelhante ao cenário descrito neste artigo:
Quando o Windows entra no estado de desligamento, ele deve informar aos novos clientes que tentam autenticar contra o DC que precisam entrar em contato com um DC diferente. Em alguns casos, no entanto, o controlador de domínio responderá ao cliente que o usuário não existe. Isso causará falhas de autenticação repetidas até que o controlador de domínio termine o desligamento e o cliente seja forçado a alternar os DCs.
A solução proposta neste artigo é parar o serviço netlogon no controlador de domínio antes de desligar o servidor. Isso o torna indisponível para autenticações antes de entrar no estado de desligamento e forçar o cliente a encontrar um novo controlador de domínio.
Este evento geralmente é causado por uma credencial oculta obsoleta. Tente isso do sistema dando o erro:
Em um prompt de comando, execute: psexec -i -s -d cmd.exe
A partir da nova janela cmd, execute: rundll32 keymgr.dll,KRShowKeyMgr
Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.