Sự kiện 4625 Lỗi kiểm toán NULL SID đăng nhập mạng không thành công

Trong 3 hệ thống riêng biệt, sự kiện sau đang được ghi lại nhiều lần (từ 30 đến 4.000 lần một ngày tùy theo hệ thống) trên máy chủ của bộ điều khiển miền:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Sự kiện này hơi khác với tất cả những sự kiện khác mà tôi đã tìm thấy trong quá trình nghiên cứu nhưng tôi đã xác định như sau:

1. Event ID: 4625. "Một tài khoản không đăng nhập được" .
2. Logon Type: 3. "Mạng (tức là kết nối với thư mục dùng chung trên máy tính này từ nơi khác trên mạng)" .
3. Security ID: NULL SID. "Một tài khoản hợp lệ không được xác định" .
4. Sub Status: 0xC0000064. "Tên người dùng không tồn tại" .
5. Caller Process Name: C:\Windows\System32\lsass.exe. Dịch vụ hệ thống phụ bảo mật cục bộ (LSASS), là một quy trình trong các hệ điều hành Microsoft Windows chịu trách nhiệm thực thi chính sách bảo mật trên hệ thống. Nó xác minh người dùng đăng nhập vào máy tính hoặc máy chủ Windows, xử lý các thay đổi mật khẩu và tạo mã thông báo truy cập. Nó cũng ghi vào Windows Security Log.
6. Workstation Name: SERVERNAME. Yêu cầu xác thực đang được gửi bởi hoặc thông qua chính bộ điều khiển miền.

Điểm tương đồng của các hệ thống bị ảnh hưởng:

1. Hệ điều hành máy chủ: Windows Small Business Server 2011 hoặc Windows Server 2012 R2 Essentials
2. Hệ điều hành máy tính để bàn: Windows 7 Professional (nói chung)

Sự khác biệt của hệ thống bị ảnh hưởng:

1. Diệt virus
2. Lọc Internet tích hợp Active Directory
3. Đăng nhập bộ nhớ cache trên máy tính để bàn
4. Vai trò (Trao đổi, sao lưu, v.v.)

Một số điều thú vị mà tôi nhận thấy trong hệ thống bị ảnh hưởng nặng nề nhất:

1. Gần đây chúng tôi đã bắt đầu đồng bộ hóa mật khẩu tài khoản người dùng Active Directory và Office 365 thông qua tích hợp Office 365 của Windows Server 2012 R2 Essentials. Việc tích hợp yêu cầu mật khẩu của quản trị viên Office 365 và chính sách bảo mật được nâng cấp. Việc đồng bộ hóa yêu cầu mỗi tài khoản người dùng được gán cho tài khoản trực tuyến tương ứng của Microsoft yêu cầu thay đổi mật khẩu của tài khoản trong lần đăng nhập tiếp theo. Chúng tôi cũng đã thêm tên miền email chính của họ dưới dạng hậu tố UPN trong Miền và Thư mục Active Directory và thay đổi UPN của tất cả tài khoản người dùng thành tên miền email của họ. Thực tế, điều này cho phép họ đăng nhập vào miền và Office 365 bằng địa chỉ email và mật khẩu của họ. Tuy nhiên, kể từ khi thực hiện điều này, số lượng sự kiện được ghi lại mỗi ngày đã tăng từ ~ 900 lên ~ 3.900. Ghi chú:
2. Phần lớn các sự kiện dường như được ghi lại theo chu kỳ đều đặn thường cứ sau 30 hoặc 60 phút trừ ~ 09:00 là khi người dùng đến nơi làm việc: 2015/07/02 18:55
   2015/07/02 19:25
   2015 / 07/02 19:54
   2015/07/02 20:25
   2015/07/02 20:54
   2015/07/02 21:25
   2015/07/02 22:24
   2015/07/02 23:25
   2015/07 / 03 00:25
   2015/07/03 01:24
   2015/07/03 01:55
   2015/07/03 02:24
   2015/07/03 02:55
   2015/07/03 03:55
   2015/07/03 04:55
   2015/07/03 05:54
   2015/07/03 06:25
   2015/07/03 07:25
   2015/07/03 08:24
   2015/07/03 08:27
   2015/07/03 08: 49
   2015/07/03 08:52
   2015/07/03 08:54
   2015/07/03 08:56
   2015/07/03 08:57
   2015/07/03 09:00
   2015/07/03 09:01
   2015/07/03 09:03
   2015/07/03 09:06
   2015 / 07/03 09:08
   2015/07/03 09:10
   2015/07/03 09:12
   2015/07/03 09:13
   2015/07/03 09:17
   2015/07/03 09:13 2015/07
   / 03 09:25
   2015/07/03 10:24
   2015/07/03 11:25

3. Sự kiện sau đây được ghi lại trên máy chủ dịch vụ đầu cuối / máy tính để bàn từ xa mặc dù gần như nhiều lần:

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

Vì vậy, tóm lại, nó chắc chắn có liên quan đến truy cập mạng từ máy tính để bàn sử dụng tài khoản người dùng của nhân viên nhưng tôi không thể xem được.

Cập nhật 2015/08/25 08:48:

Trong hệ thống bị ảnh hưởng nghiêm trọng nhất, tôi đã thực hiện các cách sau để cô lập vấn đề và sau mỗi lần thay đổi hoàn nguyên:

1. Tắt máy chủ dịch vụ đầu cuối / máy tính để bàn từ xa và đăng nhập thất bại chung đã tiếp tục.
2. Ngắt kết nối máy chủ domain controller từ mạng và đăng nhập thất bại chung đã tiếp tục.
3. Khởi động lại máy chủ vào Chế độ an toàn mà không có kết nối mạng và các thông tin đăng nhập thất bại chung không tiếp tục.
4. Đã dừng và vô hiệu hóa tất cả các dịch vụ "không cần thiết" (tác nhân giám sát, sao lưu, tích hợp lọc mạng, TeamViewer, chống vi-rút, v.v.) và các đăng nhập thất bại chung đã tiếp tục.
5. Dừng lại và tàn tật các dịch vụ Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, và WseNtfSvc) và đăng nhập thất bại chung không tiếp tục.
6. Cuối cùng, đã dừng và vô hiệu hóa Windows Server Essentials Management Service ( WseMgmtSvc) và các thông tin đăng nhập thất bại chung không tiếp tục.

Tôi đã kiểm tra kỹ rằng Windows Server Essentials Management Service ( WseMgmtSvc) chịu trách nhiệm cho những lần đăng nhập thất bại chung này bằng cách vô hiệu hóa nó trong vài ngày và không có thông tin đăng nhập thất bại chung nào và cho phép nó trong vài ngày và có hàng ngàn thông tin đăng nhập thất bại chung chung .

Cập nhật 2015/10/08 09:06:

Vào 2015/10/07 lúc 16:42 tôi đã tìm thấy nhiệm vụ theo lịch trình sau:

• Tên: "Đánh giá cảnh báo"
• Vị trí: "\ Microsoft \ Windows \ Windows Server Essentials"
• Tác giả: "Tập đoàn Microsoft"
• Mô tả: "Nhiệm vụ này định kỳ đánh giá sức khỏe của máy tính."
• Tài khoản: "HỆ THỐNG"
• Kích hoạt: "Vào lúc 08:54 ngày 28/10/2014 - Sau khi được kích hoạt, lặp lại sau mỗi 30 phút vô thời hạn"
• Hành động: "Bắt đầu một chương trình: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assugging\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35 / class:Microsoft.WindowsServerSolutions.Networkealth.AlertFramework.HealthSchediatedTask / method: EvaluAlertsTaskAction / task: "Alert Evaluations" "

Khung thời gian này gần như khớp chính xác với hành vi trên nên tôi đã vô hiệu hóa nó để xem nó có ảnh hưởng đến vấn đề không.

Vào ngày 2015/10/08 lúc 08:57 tôi thấy rằng chỉ có 47 trong số các đăng nhập thất bại chung này được ghi lại từ các khoảng thời gian không đều.

Vì vậy, tôi đã thu hẹp nó xuống hơn nữa.

Sự kiện này thường được gây ra bởi một thông tin ẩn cũ. Hãy thử điều này từ hệ thống đưa ra lỗi:

Từ một dấu nhắc lệnh chạy: psexec -i -s -d cmd.exe
Từ cửa sổ cmd mới chạy: rundll32 keymgr.dll,KRShowKeyMgr

Xóa mọi mục xuất hiện trong danh sách Tên người dùng và mật khẩu được lưu trữ. Khởi động lại máy tính.

Có vẻ như sự cố xảy ra do tác vụ theo lịch trình "Đánh giá cảnh báo".