Cách tìm nguồn 4625 ID sự kiện trong máy chủ windows 2012

8

Tôi gặp nhiều lỗi kiểm toán với ID sự kiện 4625 và Đăng nhập loại 3 trong nhật ký sự kiện.

Có phải vấn đề này hình thành máy chủ của tôi (dịch vụ nội bộ hoặc ứng dụng)? Hay đây là cuộc tấn công vũ phu? Cuối cùng, làm thế nào tôi có thể tìm thấy nguồn đăng nhập này và giải quyết vấn đề?

Đây là thông tin chi tiết trong tab Chung:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -

windows-server-2012-r2 brute-force-attacks

— Mohsen Tavoosi محسن اوسی
nguồn

xem tại đây: serverfault.com/a/403638/242249

— Spongman

3

Tôi đã có cùng loại sự kiện trên một máy chủ. Có hàng trăm lần thử đăng nhập với các tên người dùng khác nhau nhưng không thấy địa chỉ ID hoặc IP quá trình.

Tôi khá chắc chắn rằng nó đến từ các kết nối RDP qua internet mà không cần xác thực cấp độ mạng.

— chữ và số
nguồn

Tôi sẽ không bình tĩnh nếu tôi là bạn. Đây là những nỗ lực hack.

— Giao diện không xác định

3

Giải pháp làm việc tôi tìm thấy ở đây: https://github.com/DigitalRuby/IPBan

Đối với Windows Server 2008 hoặc tương đương, bạn nên tắt thông tin đăng nhập NTLM và chỉ cho phép đăng nhập NTLM2. Trên Windows Server 2008, không có cách nào để lấy địa chỉ IP của thông tin đăng nhập NTLM. Sử dụng secpol -> chính sách cục bộ -> tùy chọn bảo mật -> bảo mật mạng hạn chế lưu lượng ntlm đến -> từ chối tất cả tài khoản.

Trong lúc đó là phiên bản của bạn

— Igor Ostroumov
nguồn

Chặn tất cả các cuộc tấn công NTLM với giải pháp của bạn! Cảm ơn bạn thậm chí bạn đã mang nó từ trang GitHub đó. Thật quyến rũ bạn đã trả lời như vậy!

— Josep Alacid

1

Đây là những cuộc tấn công hack. Mục tiêu của kẻ tấn công là vũ phu ép buộc tài khoản / mật khẩu của máy chủ của bạn.

Tôi sẽ đề nghị cài đặt Hệ thống phát hiện xâm nhập đơn giản (IDS). Bạn có thể muốn xem xét RDPGuard (thương mại), IPBan, evlWatcher. Bản thân tôi sử dụng IDDS của Cyberarms. Cái này thì đơn giản, có giao diện thân thiện (yêu cầu .NET Framework 4.0).

Ý tưởng rất đơn giản: IDS giám sát nhật ký bảo mật của máy chủ của bạn để biết các sự kiện lỗi đăng nhập đáng ngờ. Sau đó, nó khóa mềm địa chỉ IP, nỗ lực đến từ. Bạn cũng có thể định cấu hình khóa cứng khi các nỗ lực từ các IP bị khóa mềm tiếp tục.

— Giao diện không xác định
nguồn

0

Có phải đã có một Bộ điều khiển miền bị tắt khi điều này xảy ra? Điều này có vẻ tương tự như kịch bản được mô tả trong bài viết này:

https://support.microsoft.com/en-us/kb/2683606

Khi Windows vào trạng thái tắt máy, nó sẽ thông báo cho các máy khách mới đang cố xác thực với DC rằng họ cần liên hệ với một DC khác. Tuy nhiên, trong một số trường hợp, DC sẽ trả lời khách hàng rằng người dùng không tồn tại. Điều này sẽ gây ra lỗi xác thực lặp đi lặp lại cho đến khi bộ điều khiển miền cuối cùng kết thúc tắt và máy khách buộc phải chuyển đổi DC.

Giải pháp được đề xuất trong bài viết này là dừng dịch vụ netlogon trên Bộ điều khiển miền trước khi tắt máy chủ. Điều này làm cho nó không có sẵn để xác thực trước khi nó vào trạng thái tắt máy và buộc khách hàng phải tìm một DC mới.

— đồng thau
nguồn

0

Sự kiện này thường được gây ra bởi một thông tin ẩn cũ. Hãy thử điều này từ hệ thống đưa ra lỗi:

Từ một dấu nhắc lệnh chạy: psexec -i -s -d cmd.exe
Từ cửa sổ cmd mới chạy: rundll32 keymgr.dll,KRShowKeyMgr

Xóa mọi mục xuất hiện trong danh sách Tên người dùng và mật khẩu được lưu trữ. Khởi động lại máy tính.

— zea62
nguồn

quan tâm để giải thích những lệnh đó làm gì?

— jj_