Cara menemukan sumber 4625 ID Peristiwa di windows server 2012

8

Saya memiliki banyak kegagalan audit dengan ID peristiwa 4625 dan tipe Logon 3 di log peristiwa saya.

Apakah masalah ini membentuk server saya (layanan internal atau aplikasi)? Atau ini serangan brute force? Akhirnya Bagaimana saya bisa menemukan sumber login ini dan menyelesaikan masalah?

Ini adalah informasi terperinci di tab Umum:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort - 
Mohsen Tavoosi محسن طاوسی
sumber
lihat di sini: serverfault.com/a/403638/242249
Spongman

Jawaban:

3

Saya memiliki jenis acara yang sama di server. Ada ratusan upaya login dengan nama pengguna yang berbeda tetapi tidak ada ID proses atau alamat IP yang terlihat.

Saya cukup yakin itu berasal dari koneksi RDP melalui internet tanpa otentikasi tingkat jaringan.

alfanimal
sumber
Aku tidak akan begitu tenang jika aku jadi kamu. Ini adalah upaya peretasan.
Antarmuka Tidak Diketahui
3

Solusi yang berhasil saya temukan di sini: https://github.com/DigitalRuby/IPBan

Untuk Windows Server 2008 atau yang setara, Anda harus menonaktifkan login NTLM dan hanya membolehkan login NTLM2. Pada Windows Server 2008, tidak ada cara untuk mendapatkan alamat ip login NTLM. Gunakan secpol -> kebijakan lokal -> opsi keamanan -> keamanan jaringan membatasi lalu lintas masuk ntlm ntlm -> tolak semua akun.

Dalam versi RU: Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: ограничения NTLM: входящий трафик NTLM -> Запретить все учетные записи

Igor Ostroumov
sumber
Dicekal semua serangan NTLM dengan solusi Anda! Terima kasih bahkan Anda membawanya dari halaman GitHub itu. Sangat memesona kamu menjawab begitu!
Josep Alacid
1

Ini adalah serangan hack. Tujuan penyerang adalah untuk memaksa akun / kata sandi server Anda.

Saya akan menyarankan untuk menginstal Intrusion Detection System (IDS) yang sederhana. Anda mungkin ingin mempertimbangkan RDPGuard (komersial), IPBan, evlWatcher. Saya sendiri menggunakan IDS Cyberarms. Yang ini sederhana, memiliki antarmuka yang ramah (membutuhkan .NET Framework 4.0).

Idenya sederhana: IDS memonitor log keamanan server Anda untuk peristiwa kegagalan masuk yang mencurigakan. Kemudian kunci-lunak alamat IP (es), upaya datang dari. Anda juga dapat mengonfigurasi kunci keras ketika upaya dari IP yang dikunci lunak berlanjut.

Antarmuka Tidak Diketahui
sumber
0

Apakah ada Domain Controller yang dimatikan ketika ini terjadi? Ini terlihat sangat mirip dengan skenario yang dijelaskan dalam artikel ini:

https://support.microsoft.com/en-us/kb/2683606

Ketika Windows memasuki kondisi shutdown, itu harus memberitahu klien baru yang berusaha untuk mengotentikasi terhadap DC bahwa mereka perlu menghubungi DC yang berbeda. Dalam beberapa kasus, DC akan membalas klien bahwa pengguna tidak ada. Ini akan menyebabkan kegagalan otentikasi berulang hingga pengendali domain akhirnya selesai dimatikan dan klien dipaksa untuk beralih DC.

Solusi yang diusulkan dalam artikel ini adalah menghentikan layanan netlogon pada Kontroler Domain sebelum mematikan server. Ini membuatnya tidak tersedia untuk otentikasi sebelum memasuki kondisi mati dan memaksa klien untuk menemukan DC baru.

kepala sekolah
sumber
0

Acara ini biasanya disebabkan oleh kredensial tersembunyi basi. Coba ini dari sistem yang memberikan kesalahan:

Dari perintah prompt menjalankan: psexec -i -s -d cmd.exe
Dari jendela cmd baru jalankan: rundll32 keymgr.dll,KRShowKeyMgr

Hapus semua item yang muncul dalam daftar Nama Pengguna dan Kata Sandi Tersimpan. Nyalakan ulang komputernya.

zea62
sumber
mau menjelaskan apa yang dilakukan perintah-perintah itu?
jj_