我有Windows服务器2012 R2天蓝色虚拟实例,并且很少有端口打开,即(80,443,RDC) . 我在安全性部分中观察了以下日志到Windows事件查看器 .
事件4625:Microsoft Windows安全审核
-------日志描述开始
帐户无法登录 .
学科:
安全ID:NULL SID
用户名: -
帐户域名: -
登录ID:0x0
登录类型:3
登录失败的帐户:
安全ID:NULL SID
帐户名称:ALLISON
帐户域名:
失败信息:
失败原因:未知用户名或密码错误 .
状态:0xC000006D
子状态:0xC0000064
处理信息:
来电进程ID:0x0
来电流程名称: -
网络信息:
工作站名称:
来源网络地址: -
来源港口: -
详细认证信息:
登录过程:NtLmSsp
身份验证包:NTLM
过境服务: -
包名称(仅限NTLM): -
密钥长度:0
登录请求失败时会生成此事件 . 它是在尝试访问的计算机上生成的 .
“主题”字段指示本地系统上请求登录的帐户 . 这通常是服务(如服务器服务)或本地进程(如Winlogon.exe或Services.exe) .
“登录类型”字段指示所请求的登录类型 . 最常见的类型是2(交互式)和3(网络) .
“进程信息”字段指示系统上的哪个帐户和进程请求登录 .
“网络信息”字段指示远程登录请求的来源 . 工作站名称并非始终可用,在某些情况下可能会留空 .
身份验证信息字段提供有关此特定登录请求的详细信息 .
- 过渡服务指示哪些中间服务参与了此登录请求 .
- 包名称表示在NTLM协议中使用了哪个子协议 .
- 密钥长度表示生成的会话密钥的长度 . 如果没有请求会话密钥,则该值为0 .
-------日志描述结束
日志在事件查看器中持续生成(每秒3-4个请求),并且帐户名称始终如下所述进行更改 .
-
登录失败的帐户:
安全ID:NULL SID
帐户名称:ATCNSBAYFG -
登录失败的帐户:
安全ID:NULL SID
帐户名称:支持 -
登录失败的帐户:
安全ID:NULL SID
帐户名称:支持 -
登录失败的帐户:
安全ID:NULL SID
帐户名称:HAYLEY -
登录失败的帐户:
安全ID:NULL SID
帐户名称:TEST5
和更多...
我尝试了什么:
1.禁用azure portal甚至RDC的所有开放端口 .
2.禁用Windows Essentials服务 .
3.从Windows调度程序禁用警报评估任务 .
但仍然在事件查看器中生成日志 . 这个窗户遭到攻击还是其他什么?以及如何防止这种情况?
1 回答
登录请求失败时会生成此事件 . 它是在尝试访问的计算机上生成的 .
要进行测试,请从文件夹中删除EVERYONE,并使用具有修改权限的本地组用户而不是EVERYONE .
4625:帐户登录失败https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4625
某些应用程序通常使用来宾帐户来实现某些功能,如果您担心安全性,可以根据实际应用保持禁用或启用 .
您是否可以启用身份验证尝试的失败审核?
获取此审核的帮助solution以跟踪Active Directory中登录失败尝试的来源 .
希望这可以帮助!