Nguồn gốc của hàng ngàn lỗi 4625 Lỗi đăng nhập với Đăng nhập loại 8 (NetworkCleartext) là gì?

9

Tôi có một hệ thống Windows Server 2008 R2 hiển thị hàng ngàn lỗi 4625 Lỗi đăng nhập với Đăng nhập loại 8 (NetworkCleartext) trong phần Bảo mật của Nhật ký Windows mỗi ngày. Không có địa chỉ IP nào của các hệ thống đang cố gắng giành quyền truy cập được liệt kê trong Địa chỉ mạng nguồn, do đó, tập lệnh tôi xây dựng để chặn các IP không thường xuyên không thể tìm thấy chúng.

Những dịch vụ này có thể đến từ những dịch vụ nào?

Đây là một mẫu của một trong số họ:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       server-name$
    Account Domain:     example
    Logon ID:       0x3e7

Logon Type:         8

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Administrator
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x4d0
    Caller Process Name:    C:\Windows\System32\svchost.exe

Network Information:
    Workstation Name:   system-name
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Advapi  
    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
windows-server-2008  windows-server-2008-r2  log-files  windows-event-log  brute-force-attacks 
kevinmicke
nguồn
2
Tôi đã nêu lên câu hỏi của bạn, câu hỏi này sẽ cung cấp cho bạn đủ đại diện để tự trả lời (IIRC).
Vô vọngN00b

Câu trả lời:

6

Có nhiều nguồn đăng nhập có thể tạo ra các lỗi này:

  1. Đăng nhập FTP - kiểm tra nhật ký FTP của bạn để xem lỗi đăng nhập có hiển thị cùng một lúc không. Đây là nguồn trong trường hợp của tôi, khiến tôi mất quá nhiều thời gian để tìm ra và đó là lý do tại sao tôi đăng bài này.
  2. Đăng nhập thông qua Xác thực cơ bản qua http hoặc https (cách đơn giản nhưng có thể nguy hiểm để bảo vệ mật khẩu trang web)
  3. Kịch bản ASP
  4. Có khả năng những người khác mà tôi không biết

Số 2 và 3 được đề cập tại WindowsSecurity.com :

Loại đăng nhập này cho biết một đăng nhập mạng như đăng nhập loại 3 nhưng mật khẩu được gửi qua mạng trong văn bản rõ ràng. Máy chủ Windows không cho phép kết nối với tệp hoặc máy in được chia sẻ với xác thực văn bản rõ ràng. Tình huống duy nhất tôi biết là các thông tin đăng nhập từ trong tập lệnh ASP bằng cách sử dụng ADVAPI hoặc khi người dùng đăng nhập vào IIS bằng chế độ xác thực cơ bản của IIS. Trong cả hai trường hợp, quá trình đăng nhập trong mô tả của sự kiện sẽ liệt kê advapi. Xác thực cơ bản chỉ nguy hiểm nếu nó không được bao bọc trong phiên SSL (tức là https). Theo như các thông tin đăng nhập được tạo bởi ASP, tập lệnh nhớ rằng việc nhúng mật khẩu vào mã nguồn là một cách làm không tốt cho mục đích bảo trì cũng như nguy cơ ai đó độc hại sẽ xem mã nguồn và từ đó lấy được mật khẩu.

kevinmicke
nguồn
1

Tôi sẽ chạy một cái netstat -a -n | find "1232"để xem những gì quá trình ID (PID) 1232 đang lắng nghe. Đó là bộ vi xử lý tạo ra các lỗi xác thực này. Bạn có thể đánh hơi lưu lượng truy cập đến trên các cổng đó để theo dõi nguồn.

(Tôi đang gặp khó khăn khi đưa ra các dịch vụ chạy trong quá trình w / svchost.exevà lắng nghe xác thực. Tôi gần như cảm thấy bên thứ ba đối với tôi ...)

Evan Anderson
nguồn
0

Kiểu đăng nhập 8 xảy ra khi mật khẩu được gửi qua mạng ở dạng văn bản rõ ràng . Xác thực cơ bản trong IIS là nguyên nhân có thể nhất cho loại lỗi đăng nhập này. Như tôi biết, có năm dịch vụ dựa trên Microsoft IIS thường được sử dụng với Xác thực cơ bản bởi người dùng cuối thông qua máy tính để bàn hoặc thiết bị di động của họ , như máy khách OWA , MS Exchange ActiveSync , Outlook Anywhere , máy khách FTPmáy chủ SharePoint .

Khi người dùng cuối kết nối máy khách OWA xác thực cơ bản từ máy tính để bàn / thiết bị di động của họ với mật khẩu sai, sự kiện 4625 với loại đăng nhập 8 sẽ được đăng nhập vào Exchange Server lưu trữ OWA.

Kiểm tra bài viết này: http://www.morgantechspace.com/2014/12/Find-Account-Lockout-Source-for-Logon-Type-8.html

kombsh
nguồn
3
Đăng nhập loại 3! = Đăng nhập loại 8.
Sven
@Sven ..now đã sửa lỗi anwser của tôi
kombsh
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.