ใน 3 ระบบแยกกันเหตุการณ์ต่อไปนี้จะถูกบันทึกหลายครั้ง (ระหว่าง 30 ถึง 4,000 ครั้งต่อวันขึ้นอยู่กับระบบ) บนเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
เหตุการณ์นี้แตกต่างจากคนอื่น ๆ ที่ฉันพบระหว่างการวิจัยเล็กน้อย แต่ฉันได้พิจารณาสิ่งต่อไปนี้แล้ว:
Event ID: 4625
. "บัญชีล้มเหลวในการเข้าสู่ระบบ"Logon Type: 3
. "เครือข่าย (การเชื่อมต่อเช่นไปยังโฟลเดอร์ที่ใช้ร่วมกันบนคอมพิวเตอร์เครื่องนี้จากที่อื่น ๆ บนระบบเครือข่าย)"Security ID: NULL SID
. "บัญชีที่ถูกต้องไม่ได้ระบุ"Sub Status: 0xC0000064
. "ชื่อผู้ใช้ไม่อยู่"Caller Process Name: C:\Windows\System32\lsass.exe
. Local Security Authority Subsystem Service (LSASS) เป็นกระบวนการในระบบปฏิบัติการ Microsoft Windows ที่รับผิดชอบในการบังคับใช้นโยบายความปลอดภัยในระบบ ตรวจสอบผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์หรือเซิร์ฟเวอร์ Windows จัดการการเปลี่ยนแปลงรหัสผ่านและสร้างโทเค็นการเข้าถึง นอกจากนี้ยังเขียนไปยังบันทึกความปลอดภัยของ WindowsWorkstation Name: SERVERNAME
. กำลังร้องขอการรับรองความถูกต้องโดยหรือผ่านตัวควบคุมโดเมนเอง
ความคล้ายคลึงกันของระบบที่ได้รับผลกระทบ:
- ระบบปฏิบัติการเซิร์ฟเวอร์: Windows Small Business Server 2011 หรือ Windows Server 2012 R2 Essentials
- ระบบปฏิบัติการเดสก์ท็อป: Windows 7 Professional (โดยทั่วไป)
ความแตกต่างของระบบที่ได้รับผลกระทบ:
- ป้องกันไวรัส
- การกรองอินเทอร์เน็ตแบบรวมของ Active Directory
- เดสก์ท็อปแคชเข้าสู่ระบบ
- บทบาท (การแลกเปลี่ยนการสำรองข้อมูล ฯลฯ )
สิ่งที่น่าสนใจบางอย่างที่ฉันสังเกตเห็นในระบบที่ได้รับผลกระทบอย่างรุนแรง:
- เราเพิ่งเริ่มซิงโครไนซ์ Active Directory และรหัสผ่านบัญชีผู้ใช้ Office 365 ผ่านการรวม Office 365 ของ Windows Server 2012 R2 Essentials การรวมต้องมีรหัสผ่านของผู้ดูแลระบบ Office 365 และนโยบายความปลอดภัยที่จะเพิ่มขึ้น การซิงโครไนซ์จะต้องกำหนดบัญชีผู้ใช้แต่ละบัญชีให้กับบัญชี Microsoft ออนไลน์ที่เกี่ยวข้องซึ่งต้องเปลี่ยนรหัสผ่านของบัญชีในการเข้าสู่ระบบครั้งต่อไป นอกจากนี้เรายังเพิ่มโดเมนอีเมลหลักเป็นส่วนต่อท้าย UPN ในโดเมน Active Directory และ Trusts และเปลี่ยน UPN ของบัญชีผู้ใช้ทั้งหมดเป็นโดเมนอีเมล มีประสิทธิภาพสิ่งนี้อนุญาตให้พวกเขาเข้าสู่ระบบโดเมนและ Office 365 โดยใช้ที่อยู่อีเมลและรหัสผ่าน อย่างไรก็ตามเนื่องจากการทำเช่นนี้ทำให้จำนวนกิจกรรมที่บันทึกต่อวันเพิ่มขึ้นจาก ~ 900 เป็น ~ 3,900 บันทึก:
- The bulk of the events seem to be logged at regular intervals usually every 30 or 60 minutes except for ~09:00 which is when the users arrive at work:
2015/07/02 18:55
2015/07/02 19:25
2015/07/02 19:54
2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07/03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03 02:55
2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08:49
2015/07/03 08:52
2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03 09:03
2015/07/03 09:06
2015 /
07/03 09:08 2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03 09:17
2015/07/03 09:13 2015/07
/ 03 09:25
2015/07/03 10:24
2015/07/03 11:25 เหตุการณ์ต่อไปนี้ถูกบันทึกในเซิร์ฟเวอร์บริการเทอร์มินัล / เดสก์ท็อประยะไกลแม้ว่าจะไม่ใกล้เคียงกับหลาย ๆ ครั้ง:
An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
โดยสรุปแล้วดูเหมือนว่าจะเกี่ยวข้องกับการเข้าถึงเครือข่ายจากคอมพิวเตอร์เดสก์ท็อปโดยใช้บัญชีผู้ใช้พนักงาน แต่ฉันไม่สามารถดูได้
อัพเดท 2015/08/25 08:48:
ในระบบที่ได้รับผลกระทบอย่างรุนแรงที่สุดฉันได้ทำสิ่งต่อไปนี้เพื่อแยกปัญหาและหลังจากที่แต่ละการเปลี่ยนแปลงกลับคืน:
- ปิดสถานี / เซิร์ฟเวอร์ระยะไกลบริการสก์ท็อปและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
- ตัดการเชื่อมต่อเซิร์ฟเวอร์ตัวควบคุมโดเมนจากเครือข่ายและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
- รีบูตเซิร์ฟเวอร์ในเซฟโหมดโดยไม่มีระบบเครือข่ายและการเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อ
- หยุดและปิดการใช้งานทุกบริการ "ไม่จำเป็น" (การตรวจสอบตัวแทนสำรองข้อมูลเครือข่ายการกรองบูรณาการ TeamViewer, ไวรัส, ฯลฯ ) และเข้าสู่ระบบล้มเหลวทั่วไปไม่ดำเนินการต่อ
- หยุดการทำงานและการให้บริการคนพิการ Windows Server Essentials (
WseComputerBackupSvc
,WseEmailSvc
,WseHealthSvc
,WseMediaSvc
,WseMgmtSvc
และWseNtfSvc
) และเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อไป - ในที่สุดหยุดและปิดใช้งาน Windows Server Essentials Management Service (
WseMgmtSvc
) และการเข้าสู่ระบบล้มเหลวทั่วไปไม่ได้ดำเนินการต่อ
ฉันตรวจสอบสองครั้งว่า Windows Server Essentials Management Service ( WseMgmtSvc
) รับผิดชอบต่อการเข้าสู่ระบบล้มเหลวทั่วไปโดยปิดใช้งานสองสามวันและไม่มีการเข้าสู่ระบบที่ล้มเหลวทั่วไปและเปิดใช้งานสองสามวันและมีการเข้าสู่ระบบล้มเหลวทั่วไปหลายพันรายการ .
อัพเดท 2015/10/08 09:06:
ในวันที่ 2015/10/07 เวลา 16:42 ฉันพบภารกิจตามกำหนดเวลาต่อไปนี้
- ชื่อ: "การประเมินการแจ้งเตือน"
- ตำแหน่ง: "สิ่งจำเป็นสำหรับเซิร์ฟเวอร์" \ Microsoft \ Windows \ Windows "
- ผู้แต่ง: "Microsoft Corporation"
- คำอธิบาย: "งานนี้ประเมินความสมบูรณ์ของคอมพิวเตอร์เป็นระยะ"
- บัญชี: "ระบบ"
- ทริกเกอร์: "เมื่อ 08:54 นเมื่อวันที่ 28/10/2014 - หลังจากที่ถูกทริกเกอร์ให้ทำซ้ำทุก ๆ 30 นาทีโดยไม่มีกำหนด"
- การดำเนินการ: "เริ่มโปรแกรม: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / เมธอด: EvaluateAlertsTaskAction / งาน: "แจ้งเตือนการประเมิน" "
กรอบเวลานี้เกือบจะตรงกับลักษณะการทำงานข้างต้นเกือบทั้งหมดดังนั้นฉันจึงปิดการใช้งานเพื่อดูว่ามีผลกับปัญหาหรือไม่
ในวันที่ 2015/10/51 เวลา 08:57 น. ฉันพบว่ามีเพียง 47 ของการเข้าสู่ระบบล้มเหลวทั่วไปเท่านั้นที่ถูกบันทึกตั้งแต่ช่วงเวลาที่ผิดปกติ
ดังนั้นฉันจึง จำกัด ให้แคบลงอีก