Como localizar a origem do 4625 Event ID no Windows Server 2012

4

Tenho muitas falhas de auditoria com a ID de evento 4625 e o tipo de Logon 3 no meu log de eventos.

Este problema é o meu servidor (serviços internos ou aplicativos)? Ou isso é ataque de força bruta? Finalmente Como posso encontrar a fonte desses logins e resolver o problema?

Esta é uma informação detalhada no separador Geral:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort - 
    
por Mohsen Unlimited 09.05.2015 / 10:18

4 respostas

2

Eu tive o mesmo tipo de eventos em um servidor. Houve centenas de tentativas de login com diferentes nomes de usuário, mas nenhuma ID de processo ou endereço IP visível.

Tenho certeza que vinha de conexões RDP pela Internet sem autenticação no nível da rede.

    
por 12.04.2016 / 08:13
1

Estes são os ataques de hackers. O objetivo dos atacantes é forçar a força das contas / senhas do seu servidor.

Eu sugeriria instalar um simples sistema de detecção de intrusão (IDS). Você pode querer considerar RDPGuard (comercial), IPBan, evlWatcher. Eu mesmo uso Cyberarms IDDS. Este é simples, tem uma interface amigável (requer o .NET Framework 4.0).

A ideia é simples: o IDS monitora o log de segurança de seu servidor em busca de eventos de falha de logon suspeitos. Em seguida, ele bloqueia o endereço IP (s), a tentativa veio de. Você também pode configurar um hard lock quando as tentativas dos IPs com bloqueio suave continuarem.

    
por 07.07.2017 / 13:24
0

Por acaso houve um controlador de domínio sendo desligado quando isso aconteceu? Isso parece muito semelhante ao cenário descrito neste artigo:

link

Quando o Windows entra no estado de desligamento, ele deve informar aos novos clientes que tentam autenticar contra o DC que precisam entrar em contato com um DC diferente. Em alguns casos, no entanto, o controlador de domínio responderá ao cliente que o usuário não existe. Isso causará falhas de autenticação repetidas até que o controlador de domínio termine o desligamento e o cliente seja forçado a alternar os DCs.

A solução proposta neste artigo é parar o serviço netlogon no controlador de domínio antes de desligar o servidor. Isso o torna indisponível para autenticações antes de entrar no estado de desligamento e forçar o cliente a encontrar um novo controlador de domínio.

    
por 14.05.2015 / 22:10
0

Este evento geralmente é causado por uma credencial oculta obsoleta. Tente isso do sistema dando o erro:

Em um prompt de comando, execute: psexec -i -s -d cmd.exe
A partir da nova janela cmd, execute: rundll32 keymgr.dll,KRShowKeyMgr

Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.

    
por 07.10.2015 / 23:03