Event_ID 4625 Falha no logon no WinServ2012 Ess

1

Eu tenho tentado envolver minha cabeça em torno disso por um tempo, mas parece que não consigo encontrar uma solução. Eu tenho visto muitas perguntas semelhantes aqui e em outros fóruns, mas nenhuma coincide com a minha situação. Todos os outros segmentos têm fonte explícita, conta e informações de IP, mas o meu não. Esta é a informação do evento que aparece aproximadamente a cada meia hora:

An account failed to log on.

Subject:    Security ID:        SYSTEM  Account Name:       CITY2012ESS$    Account Domain:     CITYMAN     Logon ID:       0x3E7
Logon Type:         3
Account For Which Logon Failed:     Security ID:        NULL SID    Account Name:           Account Domain:     
Failure Information:    Failure Reason:     Unknown user name or bad password.  Status:         0xC000006D  Sub Status:     0xC0000064
Process Information:    Caller Process ID:  0x280   Caller Process Name:    C:\Windows\System32\lsass.exe
Network Information:    Workstation Name:   CITY2012ESS     Source Network Address: -   Source Port:        -
Detailed Authentication Information:    Logon Process:      Schannel    Authentication Package: Kerberos    Transited Services: -   Package Name (NTLM only):   -   Key Length:     0

Este evento é gerado quando uma solicitação de logon falha. É gerado no computador em que o acesso foi tentado.

Como você pode ver, não há informações de conta ou rede sobre a fonte disponível. Isso me leva a pensar que isso está acontecendo na própria máquina do servidor, causada por algum serviço. Vale a pena mencionar é que este servidor não está acessível a partir do tráfego de internet externo. Não há troca no servidor, apenas uma sincronização do AD do Office365. Então eu acho que o "ataque" deve estar vindo de dentro da rede local, ou mesmo dentro da máquina local.

Alguém pode lançar alguma luz sobre isso?

    
por ConTim 11.08.2014 / 11:49

0 respostas