เหตุการณ์ 4625 ตรวจสอบความล้มเหลว NULL SID ล้มเหลวในการเข้าสู่ระบบเครือข่าย

10

ใน 3 ระบบแยกกันเหตุการณ์ต่อไปนี้จะถูกบันทึกหลายครั้ง (ระหว่าง 30 ถึง 4,000 ครั้งต่อวันขึ้นอยู่กับระบบ) บนเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

เหตุการณ์นี้แตกต่างจากคนอื่น ๆ ที่ฉันพบระหว่างการวิจัยเล็กน้อย แต่ฉันได้พิจารณาสิ่งต่อไปนี้แล้ว:

  1. Event ID: 4625. "บัญชีล้มเหลวในการเข้าสู่ระบบ"
  2. Logon Type: 3. "เครือข่าย (การเชื่อมต่อเช่นไปยังโฟลเดอร์ที่ใช้ร่วมกันบนคอมพิวเตอร์เครื่องนี้จากที่อื่น ๆ บนระบบเครือข่าย)"
  3. Security ID: NULL SID. "บัญชีที่ถูกต้องไม่ได้ระบุ"
  4. Sub Status: 0xC0000064. "ชื่อผู้ใช้ไม่อยู่"
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Local Security Authority Subsystem Service (LSASS) เป็นกระบวนการในระบบปฏิบัติการ Microsoft Windows ที่รับผิดชอบในการบังคับใช้นโยบายความปลอดภัยในระบบ ตรวจสอบผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์หรือเซิร์ฟเวอร์ Windows จัดการการเปลี่ยนแปลงรหัสผ่านและสร้างโทเค็นการเข้าถึง นอกจากนี้ยังเขียนไปยังบันทึกความปลอดภัยของ Windows
  6. Workstation Name: SERVERNAME. กำลังร้องขอการรับรองความถูกต้องโดยหรือผ่านตัวควบคุมโดเมนเอง

ความคล้ายคลึงกันของระบบที่ได้รับผลกระทบ:

  1. ระบบปฏิบัติการเซิร์ฟเวอร์: Windows Small Business Server 2011 หรือ Windows Server 2012 R2 Essentials
  2. ระบบปฏิบัติการเดสก์ท็อป: Windows 7 Professional (โดยทั่วไป)

ความแตกต่างของระบบที่ได้รับผลกระทบ:

  1. ป้องกันไวรัส
  2. การกรองอินเทอร์เน็ตแบบรวมของ Active Directory
  3. เดสก์ท็อปแคชเข้าสู่ระบบ
  4. บทบาท (การแลกเปลี่ยนการสำรองข้อมูล ฯลฯ )

สิ่งที่น่าสนใจบางอย่างที่ฉันสังเกตเห็นในระบบที่ได้รับผลกระทบอย่างรุนแรง:

  1. เราเพิ่งเริ่มซิงโครไนซ์ Active Directory และรหัสผ่านบัญชีผู้ใช้ Office 365 ผ่านการรวม Office 365 ของ Windows Server 2012 R2 Essentials การรวมต้องมีรหัสผ่านของผู้ดูแลระบบ Office 365 และนโยบายความปลอดภัยที่จะเพิ่มขึ้น การซิงโครไนซ์จะต้องกำหนดบัญชีผู้ใช้แต่ละบัญชีให้กับบัญชี Microsoft ออนไลน์ที่เกี่ยวข้องซึ่งต้องเปลี่ยนรหัสผ่านของบัญชีในการเข้าสู่ระบบครั้งต่อไป นอกจากนี้เรายังเพิ่มโดเมนอีเมลหลักเป็นส่วนต่อท้าย UPN ในโดเมน Active Directory และ Trusts และเปลี่ยน UPN ของบัญชีผู้ใช้ทั้งหมดเป็นโดเมนอีเมล มีประสิทธิภาพสิ่งนี้อนุญาตให้พวกเขาเข้าสู่ระบบโดเมนและ Office 365 โดยใช้ที่อยู่อีเมลและรหัสผ่าน อย่างไรก็ตามเนื่องจากการทำเช่นนี้ทำให้จำนวนกิจกรรมที่บันทึกต่อวันเพิ่มขึ้นจาก ~ 900 เป็น ~ 3,900 บันทึก:
  2. The bulk of the events seem to be logged at regular intervals usually every 30 or 60 minutes except for ~09:00 which is when the users arrive at work: 2015/07/02 18:55
    2015/07/02 19:25
    2015/07/02 19:54
    2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07/03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08:49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 /
    07/03 09:08 2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25

  3. เหตุการณ์ต่อไปนี้ถูกบันทึกในเซิร์ฟเวอร์บริการเทอร์มินัล / เดสก์ท็อประยะไกลแม้ว่าจะไม่ใกล้เคียงกับหลาย ๆ ครั้ง:

    An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       %terminalServerHostname%
    Account Domain:     %NetBIOSDomainName%

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   %terminalServerHostname%
    Source Network Address: %terminalServerIPv6Address%
    Source Port:        %randomHighNumber%

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

โดยสรุปแล้วดูเหมือนว่าจะเกี่ยวข้องกับการเข้าถึงเครือข่ายจากคอมพิวเตอร์เดสก์ท็อปโดยใช้บัญชีผู้ใช้พนักงาน แต่ฉันไม่สามารถดูได้

อัพเดท 2015/08/25 08:48:

ในระบบที่ได้รับผลกระทบอย่างรุนแรงที่สุดฉันได้ทำสิ่งต่อไปนี้เพื่อแยกปัญหาและหลังจากที่แต่ละการเปลี่ยนแปลงกลับคืน:

  1. ปิดสถานี / เซิร์ฟเวอร์ระยะไกลบริการสก์ท็อปและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
  2. ตัดการเชื่อมต่อเซิร์ฟเวอร์ตัวควบคุมโดเมนจากเครือข่ายและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
  3. รีบูตเซิร์ฟเวอร์ในเซฟโหมดโดยไม่มีระบบเครือข่ายและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อ
  4. หยุดและปิดการใช้งานทุกบริการ "ไม่จำเป็น" (การตรวจสอบตัวแทนสำรองข้อมูลเครือข่ายการกรองบูรณาการ TeamViewer, ไวรัส, ฯลฯ ) และเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
  5. หยุดการทำงานและการให้บริการคนพิการ Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvcและWseNtfSvc) และเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อไป
  6. ในที่สุดหยุดและปิดใช้งาน Windows Server Essentials Management Service ( WseMgmtSvc) และการเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อ

ฉันตรวจสอบสองครั้งว่า Windows Server Essentials Management Service ( WseMgmtSvc) รับผิดชอบต่อการเข้าสู่ระบบล้มเหลวทั่วไปโดยปิดใช้งานสองสามวันและไม่มีการเข้าสู่ระบบที่ล้มเหลวทั่วไปและเปิดใช้งานสองสามวันและมีการเข้าสู่ระบบล้มเหลวทั่วไปหลายพันรายการ .

อัพเดท 2015/10/08 09:06:

ในวันที่ 2015/10/07 เวลา 16:42 ฉันพบภารกิจตามกำหนดเวลาต่อไปนี้

  • ชื่อ: "การประเมินการแจ้งเตือน"
  • ตำแหน่ง: "สิ่งจำเป็นสำหรับเซิร์ฟเวอร์" \ Microsoft \ Windows \ Windows "
  • ผู้แต่ง: "Microsoft Corporation"
  • คำอธิบาย: "งานนี้ประเมินความสมบูรณ์ของคอมพิวเตอร์เป็นระยะ"
  • บัญชี: "ระบบ"
  • ทริกเกอร์: "เมื่อ 08:54 นเมื่อวันที่ 28/10/2014 - หลังจากที่ถูกทริกเกอร์ให้ทำซ้ำทุก ๆ 30 นาทีโดยไม่มีกำหนด"
  • การดำเนินการ: "เริ่มโปรแกรม: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / เมธอด: EvaluateAlertsTaskAction / งาน: "แจ้งเตือนการประเมิน" "

กรอบเวลานี้เกือบจะตรงกับลักษณะการทำงานข้างต้นเกือบทั้งหมดดังนั้นฉันจึงปิดการใช้งานเพื่อดูว่ามีผลกับปัญหาหรือไม่

ในวันที่ 2015/10/51 เวลา 08:57 น. ฉันพบว่ามีเพียง 47 ของการเข้าสู่ระบบล้มเหลวทั่วไปเท่านั้นที่ถูกบันทึกตั้งแต่ช่วงเวลาที่ผิดปกติ

ดังนั้นฉันจึง จำกัด ให้แคบลงอีก

security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 
mythofechelon
แหล่งที่มา
คุณใช้วิธีใดในการติดตั้งเครื่อง win7 ของคุณ
วอล์คเกอร์แปลก ๆ
@strange walker มีแนวโน้มว่าในแต่ละสภาพแวดล้อมที่ได้รับผลกระทบ 3 ชุดแบตเตอรีพีซีเริ่มต้นมีการติดตั้งดังนี้: พีซีเครื่องเดียวได้รับการกำหนดค่า (ไดรเวอร์ซอฟต์แวร์ ฯลฯ ) ภาพของพีซีถูกสร้างขึ้นพีซีที่เหลืออยู่ ถ่ายภาพโดยใช้รูปภาพที่กำหนดค่าจากนั้นพีซีแต่ละเครื่องจะถูกเปลี่ยนชื่อและเพิ่มในโดเมนผ่านตัวช่วยสร้างตัวเชื่อมต่อ
mythofechelon
บอกตามตรงฉันจะเพิกเฉยต่อเหตุการณ์เหล่านี้ Windows สร้างเหตุการณ์ความปลอดภัยมากมายและเหตุการณ์นี้ไม่เป็นอันตรายอย่างแน่นอน
ลัคกี้ลุค
@ ลัคกี้ลุคน่าเสียดายที่ระบบการตรวจสอบของเราไม่สามารถแยกความแตกต่างระหว่างเหตุการณ์การเข้าสู่ระบบที่ล้มเหลวดังนั้นเราจึงไม่สามารถเพิ่มเกณฑ์การตรวจสอบในกรณีที่เราพลาดปัญหาที่เกิดขึ้นจริง
mythofechelon
1
@ ลัคกี้ลุคเรากำลังพิจารณาอยู่ แต่มันก็ไม่นานและมันก็ไม่สามารถแก้ไขสาเหตุที่แท้จริงได้ แต่น่าเสียดายที่ฉันยังต้องการคำตอบสำหรับเรื่องนี้
mythofechelon

คำตอบ:

5

เหตุการณ์นี้มักจะเกิดจากข้อมูลประจำตัวที่ซ่อนอยู่เก่า ลองสิ่งนี้จากระบบโดยให้ข้อผิดพลาด:

จากคำสั่งที่ให้รัน: psexec -i -s -d cmd.exe
จากหน้าต่าง cmd ใหม่ที่รัน: rundll32 keymgr.dll,KRShowKeyMgr

ลบรายการใด ๆ ที่ปรากฏในรายการชื่อผู้ใช้ที่เก็บไว้และรหัสผ่าน รีสตาร์ทคอมพิวเตอร์

zea62
แหล่งที่มา
ไม่มีรายการ นอกจากนี้นั่นไม่เหมือนกับผู้จัดการข้อมูลประจำตัวใช่หรือไม่
mythofechelon
@mythofechelon - ใช่ในทางเทคนิคนั่นคือ "Credential Manager" แต่ Credential Manager จะจัดเก็บข้อมูลรับรองตามความต้องการของผู้ใช้ การใช้ psexec เพื่อเปิดหน้าต่าง SYSTEM cmd จากนั้นเรียกใช้ Credential Manager รัน Credential Manager ในฐานะผู้ใช้ SYSTEM ซึ่งเป็นบัญชีคอมพิวเตอร์ในระบบ
โทมัส
1

ดูเหมือนว่าปัญหาเกิดจากงานที่กำหนด "แจ้งเตือนประเมินผล"

mythofechelon
แหล่งที่มา
คุณหมายความว่ามันเกิดจากสิ่งนั้น งานนั้นกำลังทำอะไร เกิดอะไรขึ้นกับข้อผิดพลาดที่เกิดขึ้น?
แอชลีย์
ถ้าคุณอ่านการวินิจฉัยของฉันคุณจะเห็นว่ากรอบเวลาตรงกับและปิดการใช้งานเพื่อแก้ไขปัญหา
mythofechelon
3
ไม่มันไม่ได้แก้ปัญหา - มันซ่อนปัญหา
NickG
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.