In 3 sistemi separati, il seguente evento viene registrato più volte (tra le 30 e le 4.000 volte al giorno a seconda del sistema) sul server del controller di dominio:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Questo evento è leggermente diverso da tutti gli altri che ho trovato durante la ricerca ma ho determinato quanto segue:
Event ID: 4625
. "Un account non è riuscito ad accedere" .Logon Type: 3
. "Rete (ovvero connessione alla cartella condivisa su questo computer da un'altra parte della rete)" .Security ID: NULL SID
. "Non è stato identificato un account valido" .Sub Status: 0xC0000064
. "Il nome utente non esiste" .Caller Process Name: C:\Windows\System32\lsass.exe
. Il servizio del sottosistema dell'autorità di sicurezza locale (LSASS) è un processo nei sistemi operativi Microsoft Windows responsabile dell'applicazione delle politiche di sicurezza sul sistema. Verifica che gli utenti accedano a un computer o server Windows, gestisce le modifiche della password e crea token di accesso. Scrive anche nel registro di sicurezza di Windows.Workstation Name: SERVERNAME
. La richiesta di autenticazione viene inoltrata da o tramite il controller di dominio stesso.
Somiglianze dei sistemi interessati:
- Sistema operativo server: Windows Small Business Server 2011 o Windows Server 2012 R2 Essentials
- Sistema operativo desktop: Windows 7 Professional (in genere)
Differenze dei sistemi interessati:
- Antivirus
- Filtro Internet integrato in Active Directory
- Accesso desktop memorizzato nella cache
- Ruoli (scambio, backup, ecc.)
Alcune cose interessanti che ho notato nel sistema più gravemente colpito:
- Di recente abbiamo iniziato a sincronizzare le password degli account utente di Active Directory e Office 365 tramite l'integrazione di Office 365 di Windows Server 2012 R2 Essentials. L'integrazione richiede una password dell'amministratore di Office 365 e la politica di sicurezza da intensificare. La sincronizzazione richiede che ogni account utente sia assegnato al corrispondente account online Microsoft che richiede la modifica della password dell'account al successivo accesso. Abbiamo anche aggiunto il loro dominio di posta elettronica principale come suffisso UPN in Domini e trust di Active Directory e modificato l'UPN di tutti gli account utente nel loro dominio di posta elettronica. In effetti, ciò ha consentito loro di accedere al dominio e a Office 365 utilizzando l'indirizzo e-mail e la password. Tuttavia, da allora il numero di eventi registrati al giorno è aumentato da ~ 900 a ~ 3.900. Nota:
- La maggior parte degli eventi sembra essere registrata a intervalli regolari di solito ogni 30 o 60 minuti tranne ~ 09:00 che è quando gli utenti arrivano al lavoro: 2015/07/02 18:55
2015/07/02 19:25
2015 /
07/02 19:54 2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07 / 03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03 02:55
2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08: 49
2015/07/03
08:52 2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03 09:03
2015/07/03 09:06
2015 / 07/03 09:08
2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03 09:17
2015/07/03 09:13 2015/07
/ 03 09:25
2015/07/03 10:24
2015/07/03 11:25 Il seguente evento viene registrato sul server di servizi desktop remoto / terminale sebbene da nessuna parte vicino come tante volte:
An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Quindi, in sintesi, sembra sicuramente essere correlato all'accesso alla rete da computer desktop utilizzando gli account utente del personale, ma non riesco a vedere come.
Aggiornamento 2015/08/25 08:48:
Nel sistema più gravemente colpito ho fatto quanto segue per isolare il problema e dopo ognuno ho ripristinato la modifica:
- Arrestare il server terminal / desktop remoto e gli accessi generici non riusciti hanno continuato.
- Disconnesso il server del controller di dominio dalla rete e gli accessi generici non riusciti hanno continuato.
- Riavviato il server in modalità provvisoria senza rete e gli accessi generici non riusciti non sono proseguiti.
- Tutti i servizi "non necessari" (agente di monitoraggio, backup, integrazione del filtro di rete, TeamViewer, antivirus, ecc.) Sono stati interrotti e disabilitati e sono continuati gli accessi generici non riusciti .
- Mi sono fermato e disabili servizi di Windows Server Essentials (
WseComputerBackupSvc
,WseEmailSvc
,WseHealthSvc
,WseMediaSvc
,WseMgmtSvc
, eWseNtfSvc
) ed i accessi non riusciti generici non continuare. - Alla fine, il servizio di gestione di Windows Server Essentials (
WseMgmtSvc
) è stato arrestato e disabilitato e gli accessi generici non riusciti non sono proseguiti.
Ho ricontrollato che il servizio di gestione di Windows Server Essentials ( WseMgmtSvc
) è responsabile di questi accessi non riusciti generici disabilitandolo per alcuni giorni e non c'erano accessi non riusciti generici e abilitandolo per alcuni giorni e c'erano migliaia di accessi generici non riusciti .
Aggiornamento 2015/10/08 09:06:
Il 2015/10/07 alle 16:42 ho trovato la seguente attività programmata:
- Nome: "Valutazioni avvisi"
- Posizione: "\ Microsoft \ Windows \ Windows Server Essentials"
- Autore: "Microsoft Corporation"
- Descrizione: "Questa attività valuta periodicamente lo stato del computer".
- Conto: "SISTEMA"
- Trigger: "Alle 08:54 del 28/10/2014 - Dopo l'attivazione, ripetere ogni 30 minuti a tempo indeterminato"
- Azioni: "Avvia un programma: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Valutazioni avvisi" "
Questo lasso di tempo corrisponde quasi esattamente al comportamento sopra, quindi l'ho disabilitato per vedere se influisce sul problema.
Il 2015/10/08 alle 08:57 ho scoperto che solo 47 di questi accessi generici non riusciti erano registrati da intervalli irregolari.
Quindi, l'ho ridotto ulteriormente.