Microsoft-Windows-Security-Auditing Código de evento: 4625 Log ex-usuário que não pode ser parado

1
An account failed to log on.
Subject: 
Security ID:    S-1-0-0 
Account Name:   - 
Account Domain: - 
Logon ID:   0x0
Logon Type: 3
Account For Which Logon Failed: 
Security ID:    S-1-0-0 
Account Name:   xyzuser 
Account Domain: srkt
Failure Information: 
Failure Reason: Unknown user name or bad password. 
Status: 0xc000006d 
Sub Status: 0xc0000064
Process Information: 
Caller Process ID:  0x0 
Caller Process Name:    -
Network Information: 
Workstation Name:   Compname 
Source Network Address: ipv4 
Source Port:    Randomhignumberport
Detailed Authentication Information: 
Logon Process:  NtLmSsp 
Authentication Package: NTLM 
Transited Services: - 
Package Name (NTLM only):   - 
Key Length: 0

Este evento é gerado quando uma solicitação de logon falha. É gerado no computador em que o acesso foi tentado. Os campos Assunto indicam a conta no sistema local que solicitou o logon. Isso é mais comumente um serviço como o serviço do servidor ou um processo local, como Winlogon.exe ou Services.exe . O campo Tipo de Logon indica o tipo de logon que foi solicitado. Os tipos mais comuns são 2 (interativo) e 3 (rede). Os campos Informações do Processo indicam qual conta e processo no sistema solicitou o logon. Os campos Informações de Rede indicam onde uma solicitação de logon remoto foi originada. O nome da estação de trabalho nem sempre está disponível e pode ficar em branco em alguns casos. Os campos de informações de autenticação fornecem informações detalhadas sobre essa solicitação de logon específica.

  • Os serviços transmitidos indicam quais serviços intermediários participaram dessa solicitação de logon.
  • O nome do pacote indica qual subprotocolo foi usado entre os protocolos NTLM.
  • O tamanho da chave indica o tamanho da chave de sessão gerada. Este será 0 se nenhuma chave de sessão foi solicitada.

Um nome de usuário separado da nossa empresa e excluído do AD. Ele está tentando alcançar o servidor de arquivos. Obtém esse erro e está tentando novamente. Existem mais de 10000 logs em um período semanal. Toda vez que é tentado de portas aleatórias. Eu não encontrei nada para a solução na internet.

Como posso consertar isso?

    
por Ahmt 26.12.2016 / 14:12

1 resposta

0

A mensagem de erro do evento indica: "Nome de usuário desconhecido ou senha incorreta", confirmando que o usuário não existe ou que o usuário efetuou logon com uma senha incorreta (isso é um pouco genérico, deve haver outros eventos sendo registrado em torno do mesmo tempo que confirmaria que o usuário foi realmente removido).

Este evento simplesmente indica que o usuário remoto está tentando se conectar ao servidor através de uma conexão de rede. O fato de que as conexões são provenientes de portas remotas aleatórias é esperado, isto é, um comportamento normal.

Posso pensar em três razões pelas quais você está percebendo isso:

  1. O usuário ainda tem uma sessão aberta em algum lugar da rede, por exemplo através de um servidor de terminal ou similar.

  2. Existe um serviço ou uma tarefa agendada associada ao usuário, embora isso geralmente resulte em códigos de erro diferentes de (3).

  3. O usuário ainda tem acesso à rede (VPN?) e tem uma unidade em seu laptop ainda mapeada para o seu servidor.

Dado o grande número de eventos que estão sendo gerados, parece improvável que o usuário tenha uma intenção nefasta.

Você tem um endereço IP caso, pelo menos, você saiba de onde o login está vindo? Isso deve esclarecer as coisas também.

    
por 27.12.2016 / 01:06