Errore di controllo evento 4625 SID NULL non riuscito accessi di rete


10

In 3 sistemi separati, il seguente evento viene registrato più volte (tra le 30 e le 4.000 volte al giorno a seconda del sistema) sul server del controller di dominio:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Questo evento è leggermente diverso da tutti gli altri che ho trovato durante la ricerca ma ho determinato quanto segue:

  1. Event ID: 4625. "Un account non è riuscito ad accedere" .
  2. Logon Type: 3. "Rete (ovvero connessione alla cartella condivisa su questo computer da un'altra parte della rete)" .
  3. Security ID: NULL SID. "Non è stato identificato un account valido" .
  4. Sub Status: 0xC0000064. "Il nome utente non esiste" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Il servizio del sottosistema dell'autorità di sicurezza locale (LSASS) è un processo nei sistemi operativi Microsoft Windows responsabile dell'applicazione delle politiche di sicurezza sul sistema. Verifica che gli utenti accedano a un computer o server Windows, gestisce le modifiche della password e crea token di accesso. Scrive anche nel registro di sicurezza di Windows.
  6. Workstation Name: SERVERNAME. La richiesta di autenticazione viene inoltrata da o tramite il controller di dominio stesso.

Somiglianze dei sistemi interessati:

  1. Sistema operativo server: Windows Small Business Server 2011 o Windows Server 2012 R2 Essentials
  2. Sistema operativo desktop: Windows 7 Professional (in genere)

Differenze dei sistemi interessati:

  1. Antivirus
  2. Filtro Internet integrato in Active Directory
  3. Accesso desktop memorizzato nella cache
  4. Ruoli (scambio, backup, ecc.)

Alcune cose interessanti che ho notato nel sistema più gravemente colpito:

  1. Di recente abbiamo iniziato a sincronizzare le password degli account utente di Active Directory e Office 365 tramite l'integrazione di Office 365 di Windows Server 2012 R2 Essentials. L'integrazione richiede una password dell'amministratore di Office 365 e la politica di sicurezza da intensificare. La sincronizzazione richiede che ogni account utente sia assegnato al corrispondente account online Microsoft che richiede la modifica della password dell'account al successivo accesso. Abbiamo anche aggiunto il loro dominio di posta elettronica principale come suffisso UPN in Domini e trust di Active Directory e modificato l'UPN di tutti gli account utente nel loro dominio di posta elettronica. In effetti, ciò ha consentito loro di accedere al dominio e a Office 365 utilizzando l'indirizzo e-mail e la password. Tuttavia, da allora il numero di eventi registrati al giorno è aumentato da ~ 900 a ~ 3.900. Nota:
  2. La maggior parte degli eventi sembra essere registrata a intervalli regolari di solito ogni 30 o 60 minuti tranne ~ 09:00 che è quando gli utenti arrivano al lavoro: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    2015/07/03
    08:52 2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. Il seguente evento viene registrato sul server di servizi desktop remoto / terminale sebbene da nessuna parte vicino come tante volte:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Quindi, in sintesi, sembra sicuramente essere correlato all'accesso alla rete da computer desktop utilizzando gli account utente del personale, ma non riesco a vedere come.

Aggiornamento 2015/08/25 08:48:

Nel sistema più gravemente colpito ho fatto quanto segue per isolare il problema e dopo ognuno ho ripristinato la modifica:

  1. Arrestare il server terminal / desktop remoto e gli accessi generici non riusciti hanno continuato.
  2. Disconnesso il server del controller di dominio dalla rete e gli accessi generici non riusciti hanno continuato.
  3. Riavviato il server in modalità provvisoria senza rete e gli accessi generici non riusciti non sono proseguiti.
  4. Tutti i servizi "non necessari" (agente di monitoraggio, backup, integrazione del filtro di rete, TeamViewer, antivirus, ecc.) Sono stati interrotti e disabilitati e sono continuati gli accessi generici non riusciti .
  5. Mi sono fermato e disabili servizi di Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, e WseNtfSvc) ed i accessi non riusciti generici non continuare.
  6. Alla fine, il servizio di gestione di Windows Server Essentials ( WseMgmtSvc) è stato arrestato e disabilitato e gli accessi generici non riusciti non sono proseguiti.

Ho ricontrollato che il servizio di gestione di Windows Server Essentials ( WseMgmtSvc) è responsabile di questi accessi non riusciti generici disabilitandolo per alcuni giorni e non c'erano accessi non riusciti generici e abilitandolo per alcuni giorni e c'erano migliaia di accessi generici non riusciti .

Aggiornamento 2015/10/08 09:06:

Il 2015/10/07 alle 16:42 ho trovato la seguente attività programmata:

  • Nome: "Valutazioni avvisi"
  • Posizione: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Autore: "Microsoft Corporation"
  • Descrizione: "Questa attività valuta periodicamente lo stato del computer".
  • Conto: "SISTEMA"
  • Trigger: "Alle 08:54 del 28/10/2014 - Dopo l'attivazione, ripetere ogni 30 minuti a tempo indeterminato"
  • Azioni: "Avvia un programma: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Valutazioni avvisi" "

Questo lasso di tempo corrisponde quasi esattamente al comportamento sopra, quindi l'ho disabilitato per vedere se influisce sul problema.

Il 2015/10/08 alle 08:57 ho scoperto che solo 47 di questi accessi generici non riusciti erano registrati da intervalli irregolari.

Quindi, l'ho ridotto ulteriormente.


Quale metodo hai usato per configurare le tue macchine win7?
strano camminatore

@strange walker È probabile che, in ciascuno dei 3 ambienti interessati, il batch di PC iniziali sia stato configurato come segue: è stato configurato un singolo PC (driver, software, ecc.), è stata creata un'immagine del PC, i PC rimanenti sono stati imaging utilizzando l'immagine configurata, quindi ogni PC è stato rinominato e aggiunto al dominio tramite la procedura guidata del connettore.
mythofechelon,

Ad essere sincero, ignorerei questi eventi. Windows crea una miriade di eventi di sicurezza e questo particolare evento non è sicuramente dannoso.
Lucky Luke,

@Lucky Luke Sfortunatamente, il nostro sistema di monitoraggio non è in grado di distinguere tra eventi di accesso non riusciti, quindi non possiamo davvero aumentare la soglia del controllo nel caso in cui perdessimo un vero problema.
mythofechelon,

1
@Lucky Luke Lo stiamo prendendo in considerazione, ma è un po 'fuori e purtroppo non risolve la causa principale, quindi ho ancora bisogno di una risposta a questo.
mythofechelon,

Risposte:


5

Questo evento è generalmente causato da credenziali nascoste non aggiornate. Prova questo dal sistema dando l'errore:

Da un prompt dei comandi eseguito: psexec -i -s -d cmd.exe
Dalla nuova esecuzione cmd della finestra: rundll32 keymgr.dll,KRShowKeyMgr

Rimuovere tutti gli elementi che appaiono nell'elenco di nomi utente e password memorizzati. Riavvia il computer.


Non ci sono voci Inoltre, non è lo stesso di Credential Manager?
mythofechelon,

@mythofechelon - Sì, tecnicamente si tratta del "Gestore credenziali", ma il Gestore credenziali memorizza le credenziali su una base per utente. L'uso di psexec per aprire una finestra cmd SYSTEM e quindi eseguire Credential Manager esegue Credential Manager come utente SYSTEM, che è l'account del computer locale.
Thomas,

1

Sembra che il problema sia stato causato dall'attività pianificata "Valutazioni avvisi".


Cosa vuoi dire che è stato causato da quello? Cosa sta facendo quel compito? Cosa c'era che non andava che si stavano verificando gli errori?
Ashley,

Bene, se leggessi la mia diagnostica, vedresti che i tempi coincidono e disabilitarlo risolve il problema.
mythofechelon,

3
No, non ha risolto il problema, ha nascosto il problema.
NickG
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.