이벤트 4625 감사 실패 NULL SID 실패 네트워크 로그온


10

3 개의 개별 시스템에서 도메인 컨트롤러 서버에 다음 이벤트가 여러 번 기록됩니다 (시스템에 따라 하루에 30-4,000 회).

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

이 이벤트는 연구 중에 찾은 다른 이벤트와 약간 다르지만 다음 사항을 결정했습니다.

  1. Event ID: 4625. "계정에 로그온하지 못했습니다" .
  2. Logon Type: 3. "네트워크 (네트워크상의 다른 곳에서이 컴퓨터의 공유 폴더에 즉, 연결)" .
  3. Security ID: NULL SID. "유효한 계정이 확인되지 않았습니다" .
  4. Sub Status: 0xC0000064. "사용자 이름이 없습니다" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. LSASS (Local Security Authority Subsystem Service)는 시스템에서 보안 정책을 시행하는 Microsoft Windows 운영 체제의 프로세스입니다. Windows 컴퓨터 나 서버에 로그온 한 사용자를 확인하고 암호 변경을 처리하며 액세스 토큰을 만듭니다. 또한 Windows 보안 로그에 씁니다.
  6. Workstation Name: SERVERNAME. 인증 요청은 도메인 컨트롤러 자체 또는 도메인 컨트롤러를 통해 제출됩니다.

영향을받는 시스템의 유사점 :

  1. 서버 운영 체제 : Windows Small Business Server 2011 또는 Windows Server 2012 R2 Essentials
  2. 데스크톱 운영 체제 : Windows 7 Professional (일반)

영향을받는 시스템의 차이점 :

  1. 안티 바이러스
  2. Active Directory 통합 인터넷 필터링
  3. 데스크톱 캐시 로그온
  4. 역할 (교환, 백업 등)

가장 심각하게 영향을받는 시스템에서 주목 한 몇 가지 흥미로운 사항 :

  1. 최근 Windows Server 2012 R2 Essentials의 Office 365 통합을 통해 Active Directory 및 Office 365 사용자 계정 암호 동기화를 시작했습니다. 통합하려면 Office 365 관리자의 비밀번호와 보안 정책을 에스컬레이션해야합니다. 동기화하려면 각 사용자 계정을 해당 Microsoft 온라인 계정에 할당해야하며 다음 로그온시 계정 암호를 변경해야합니다. 또한 기본 전자 메일 도메인을 Active Directory 도메인 및 트러스트에 UPN 접미사로 추가하고 모든 사용자 계정의 UPN을 전자 메일 도메인으로 변경했습니다. 이를 통해 전자 메일 주소와 암호를 사용하여 도메인과 Office 365에 로그온 할 수있었습니다. 그러나 이렇게하면 하루에 기록되는 이벤트 수가 ~ 900에서 ~ 3,900으로 증가했습니다. 노트 :
  2. 사용자가 직장에 도착하는 ~ 09 : 00을 제외하고는 대부분의 이벤트가 보통 30 분 또는 60 분마다 정기적으로 기록되는 것 같습니다 : 2015/07/02 18:55
    2015/07/02 19:25
    2015 / 07 / 02 19:54
    2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08 : 49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13
    2015 / 07 / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. 터미널 / 원격 데스크톱 서비스 서버에는 다음과 같은 이벤트가 거의 발생하지 않습니다.

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

요약하면 직원 사용자 계정을 사용하는 데스크톱 컴퓨터의 네트워크 액세스와 관련이있는 것처럼 보이지만 방법을 알 수는 없습니다.

2015/08/25 08:48 업데이트 :

가장 심각하게 영향을받는 시스템에서 문제를 격리하고 각 변경 사항을 되 돌린 후 다음을 수행했습니다.

  1. 터미널 / 원격 데스크톱 서비스 서버를 종료하면 일반적인 로그온 실패 계속되었습니다.
  2. 네트워크에서 도메인 컨트롤러 서버의 연결을 끊었고 일반적인 로그온 실패 계속되었습니다.
  3. 네트워킹없이 서버를 안전 모드로 재부팅 했는데 일반적인 로그온 실패 계속 되지 않았습니다 .
  4. 모든 "불필요한"서비스 (모니터링 에이전트, 백업, 네트워크 필터링 통합, TeamViewer, 바이러스 백신 등)가 중지 및 비활성화되었으며 일반적인 로그온 실패 계속되었습니다.
  5. 중지 및 비활성화 윈도우 서버 에센셜 서비스 ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc,과 WseNtfSvc) 및 일반 로그온 실패는 하지 않았다 계속합니다.
  6. 결국 Windows Server Essentials 관리 서비스 ( WseMgmtSvc)를 중지했다가 비활성화 했지만 일반적인 로그온 실패 계속 되지 않았습니다 .

Windows Server Essentials 관리 서비스 ( WseMgmtSvc)가 이러한 일반적인 실패한 로그온을 며칠 동안 사용하지 않도록 설정하고 일반적인 실패한 로그온이없고 며칠 동안 사용하도록 설정했으며 수천 개의 일반적인 실패한 로그온이 있는지 확인했습니다. .

2015/10/08 09:06 업데이트 :

2015 년 10 월 7 일 16시 42 분에 다음과 같은 예약 된 작업을 발견했습니다.

  • 이름 : "경고 평가"
  • 위치 : "\ Microsoft \ Windows \ Windows Server Essentials"
  • 저자 : "Microsoft Corporation"
  • 설명 : "이 작업은 주기적으로 컴퓨터의 상태를 평가합니다."
  • 계정 : "SYSTEM"
  • 트리거 : "2014 년 10 월 28 일 08:54-트리거 후 30 분마다 무한 반복"
  • 작업 : "프로그램 시작 : C : \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method : EvaluateAlertsTaskAction / task : "경고 평가" "

이 기간은 위의 동작과 거의 일치하므로 문제에 영향을 미치는지 확인하지 못했습니다.

08:57의 2015/10/08에서 불규칙한 간격으로 인해 이러한 일반적인 실패한 로그온 중 47 개만 기록되는 것을 발견했습니다.

그래서 더 좁혔습니다.


win7 머신을 설정하기 위해 어떤 방법을 사용 했습니까?
이상한 워커

@strange walker 영향을받는 세 가지 환경 각각에서 초기 PC 배치는 다음과 같이 설정되었습니다. 단일 PC 구성 (드라이버, 소프트웨어 등), PC 이미지 생성, 나머지 PC 구성된 이미지를 사용하여 이미지를 생성 한 다음 각 PC의 이름을 변경하고 커넥터 마법사를 통해 도메인에 추가했습니다.
mythofechelon

솔직히 나는이 사건들을 무시할 것입니다. Windows는 수많은 보안 이벤트를 생성하며이 특정 이벤트는 확실히 유해하지 않습니다.
Lucky Luke

@Lucky Luke 불행히도, 우리의 모니터링 시스템은 실패한 로그온 이벤트를 구별 할 수 없으므로 실제적인 문제를 놓친 경우를 대비하여 실제로는 체크 임계 값을 증가시킬 수 없습니다.
mythofechelon

1
@ 행운의 루크 우리는 그것을 고려하고 있지만 그것은 얼마 안되어 불행히도 근본 원인을 해결하지 못하므로 여전히 이에 대한 답이 필요합니다.
mythofechelon

답변:


5

이 이벤트는 일반적으로 오래된 숨겨진 자격 증명으로 인해 발생합니다. 오류가 발생하는 시스템에서 이것을 시도하십시오.

명령 프롬프트에서 다음을 수행하십시오. psexec -i -s -d cmd.exe
새 cmd 창에서 다음을 실행하십시오. rundll32 keymgr.dll,KRShowKeyMgr

저장된 사용자 이름 및 비밀번호 목록에 나타나는 모든 항목을 제거하십시오. 컴퓨터를 다시 시작하십시오.


항목이 없습니다. 또한 자격 증명 관리자와 동일하지 않습니까?
mythofechelon 2016 년

@mythofechelon-예, 기술적으로 "Credential Manager"이지만 Credential Manager는 자격 증명을 사용자별로 저장합니다. psexec를 사용하여 SYSTEM cmd 창을 연 다음 자격 증명 관리자 실행 자격 증명 관리자를 로컬 컴퓨터 계정 인 SYSTEM 사용자로 자격 증명 관리자를 실행합니다.
Thomas

1

예약 된 작업 "경고 평가"로 인해 문제가 발생한 것 같습니다.


그게 무슨 소리 야? 그 임무는 무엇입니까? 오류가 발생하여 무엇이 잘못 되었습니까?
Ashley

내 진단을 읽으면 기간이 일치하여 비활성화하면 문제가 해결 된 것을 볼 수 있습니다.
mythofechelon

3
아니요, 문제를 해결하지 못했습니다. 문제를 숨겼습니다.
NickG
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.