Windows Server 2012에서 4625 이벤트 ID의 소스를 찾는 방법

8

이벤트 로그에 이벤트 ID 4625 및 로그온 유형 3으로 인해 많은 감사 실패가 발생했습니다.

이 문제가 내 서버 (내부 서비스 또는 응용 프로그램)에서 발생합니까? 아니면 이것은 무차별 대입 공격입니까? 마지막으로이 로그인의 출처를 찾고 문제를 해결하려면 어떻게해야합니까?

다음은 일반 탭의 자세한 정보입니다.

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -

windows-server-2012-r2 brute-force-attacks

— Mohsen Tavoosi محسن طاوسی
소스

여기 참조 : serverfault.com/a/403638/242249

— Spongman

3

서버에서 동일한 유형의 이벤트가있었습니다. 사용자 이름은 다르지만 프로세스 ID 또는 IP 주소는 보이지 않는 수백 번의 로그인 시도가있었습니다.

네트워크 수준 인증없이 인터넷을 통한 RDP 연결에서 온 것 같습니다.

— 영숫자
소스

내가 당신이라면 그렇게 침착하지 않을 것입니다. 이것들은 해킹 시도입니다.

— Interface Unknown

3

내가 찾은 작업 솔루션 : https://github.com/DigitalRuby/IPBan

Windows Server 2008 이상의 경우 NTLM 로그인을 비활성화하고 NTLM2 로그인 만 허용해야합니다. Windows Server 2008에서는 NTLM 로그인의 IP 주소를 얻는 방법이 없습니다. secpol-> 로컬 정책-> 보안 옵션-> 네트워크 보안을 사용하여 ntlm 수신 ntlm 트래픽 제한-> 모든 계정을 거부하십시오.

RU 버전의 경우 : Локальная политика безопасности-> Локальные политики-> Параметры безопасности-> Сетевая безопасность : ограничения NTLM : входящий трафикти замб за б б на б и б на

— 이고르 오 스트로우 모프
소스

솔루션으로 모든 NTLM 공격을 차단했습니다! 그 GitHub 페이지에서 가져와 주셔서 감사합니다. 당신이 그렇게 대답 너무 매력적입니다!

— Josep Alacid

1

이것은 해킹 공격입니다. 공격자의 목표는 서버의 계정 / 암호를 무차별 화하는 것입니다.

간단한 침입 탐지 시스템 (IDS)을 설치하는 것이 좋습니다. RDPGuard (상업용), IPBan, evlWatcher를 고려할 수 있습니다. 나 자신은 Cyberarms IDDS를 사용합니다. 이것은 간단하고 친숙한 인터페이스를 제공합니다 (.NET Framework 4.0 필요).

아이디어는 간단합니다. IDS는 의심스러운 로그온 실패 이벤트에 대해 서버의 보안 로그를 모니터링합니다. 그런 다음 IP 주소를 소프트 잠금합니다. 소프트 잠금 IP 시도가 계속 될 때 하드 잠금을 구성 할 수도 있습니다.

— 알 수없는 인터페이스
소스

0

이 문제가 발생했을 때 도메인 컨트롤러가 종료 되었습니까? 이 기사에서 설명한 시나리오와 매우 유사합니다.

https://support.microsoft.com/en-us/kb/2683606

Windows가 종료 상태가되면 새 클라이언트에게 DC에 대해 인증을 시도하면 다른 DC에 연결해야한다고 알려야합니다. 그러나 경우에 따라 DC는 사용자가 존재하지 않는 클라이언트에 응답합니다. 이로 인해 도메인 컨트롤러의 종료가 끝나고 클라이언트가 DC를 강제로 전환 할 때까지 인증 실패가 반복됩니다.

이 문서에서 제안하는 솔루션은 서버를 종료하기 전에 도메인 컨트롤러에서 netlogon 서비스를 중지하는 것입니다. 이렇게하면 종료 상태가되기 전에 인증을 사용할 수 없으며 클라이언트가 새 DC를 찾도록합니다.

— Brassmaster
소스

0

이 이벤트는 일반적으로 오래된 숨겨진 자격 증명으로 인해 발생합니다. 오류가 발생하는 시스템에서 이것을 시도하십시오.

명령 프롬프트에서 다음을 수행하십시오. psexec -i -s -d cmd.exe
새 cmd 창에서 다음을 실행하십시오. rundll32 keymgr.dll,KRShowKeyMgr

저장된 사용자 이름 및 비밀번호 목록에 나타나는 모든 항목을 제거하십시오. 컴퓨터를 다시 시작하십시오.

— zea62
소스

그 명령들이 무엇을 설명 할까?

— jj_