Come trovare l'origine dell'ID evento 4625 in Windows Server 2012

8

Ho molti errori di controllo con ID evento 4625 e tipo di accesso 3 nel mio registro eventi.

Questo problema è il mio server (servizi interni o applicazioni)? O questo è un attacco di forza bruta? Infine, come posso trovare l'origine di questi accessi e risolvere il problema?

Queste sono informazioni dettagliate nella scheda Generale:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -
windows-server-2012-r2  brute-force-attacks 
Mohsen Tavoosi محسن طاوسی
fonte
Spongman,

Risposte:

3

Ho avuto lo stesso tipo di eventi su un server. Si sono verificati centinaia di tentativi di accesso con nomi utente diversi, ma non è stato visualizzato alcun ID processo o indirizzo IP.

Sono abbastanza sicuro che provenisse da connessioni RDP su Internet senza autenticazione a livello di rete.

alphanimal
fonte
Non sarei così calmo se fossi in te. Questi sono i tentativi di hacking.
Interfaccia sconosciuta il
3

Soluzione di lavoro che ho trovato qui: https://github.com/DigitalRuby/IPBan

Per Windows Server 2008 o equivalente, è necessario disabilitare gli accessi NTLM e consentire solo gli accessi NTLM2. Su Windows Server 2008, non è possibile ottenere l'indirizzo IP degli accessi NTLM. Usa secpol -> politiche locali -> opzioni di sicurezza -> sicurezza di rete limita ntlm traffico ntlm in entrata -> nega tutti gli account.

Nella versione RU: Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: ограничения NTLM: входящий трафик NTLM -> Запретить все учетные записи

Igor Ostroumov
fonte
Hai bloccato tutti gli attacchi NTLM con la tua soluzione! Grazie anche tu l'hai portato da quella pagina GitHub. È così affascinante che tu abbia risposto così!
Josep Alacid,
1

Questi sono gli attacchi di hacking. L'obiettivo degli attaccanti è quello di forzare gli account / le password del tuo server.

Suggerirei di installare un semplice Intrusion Detection System (IDS). Puoi prendere in considerazione RDPGuard (commerciale), IPBan, evlWatcher. Io stesso utilizzo Cyberarms IDDS. Questo è semplice, ha un'interfaccia intuitiva (richiede .NET Framework 4.0).

L'idea è semplice: IDS monitora il registro di sicurezza del server per gli eventi sospetti di errore di accesso. Quindi blocca automaticamente gli indirizzi IP, da cui proviene il tentativo. Puoi anche configurare un hard lock quando continuano i tentativi dagli IP con soft-lock.

Interfaccia sconosciuta
fonte
0

Si è verificato un arresto del controller di dominio quando ciò è accaduto? Questo sembra notevolmente simile allo scenario descritto in questo articolo:

https://support.microsoft.com/en-us/kb/2683606

Quando Windows entra nello stato di arresto, dovrebbe indicare ai nuovi client che tentano di eseguire l'autenticazione con il controller di dominio che devono contattare un controller di dominio diverso. In alcuni casi, tuttavia, il controller di dominio risponderà al client che l'utente non esiste. Ciò causerà ripetuti errori di autenticazione fino a quando il controller di dominio non termina la chiusura e il client è costretto a cambiare controller di dominio.

La soluzione proposta in questo articolo è arrestare il servizio netlogon sul controller di dominio prima di arrestare il server. Ciò lo rende non disponibile per le autenticazioni prima che entri nello stato di arresto e costringe il client a trovare un nuovo controller di dominio.

Brassmaster
fonte
0

Questo evento è generalmente causato da credenziali nascoste non aggiornate. Prova questo dal sistema dando l'errore:

Da un prompt dei comandi eseguito: psexec -i -s -d cmd.exe
Dalla nuova esecuzione cmd della finestra: rundll32 keymgr.dll,KRShowKeyMgr

Rimuovere tutti gli elementi che appaiono nell'elenco di nomi utente e password memorizzati. Riavvia il computer.

zea62
fonte
ti interessa spiegare cosa fanno questi comandi?
jj_
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.