Windows 日志中源工作站为空。如何查找?

Windows 日志中源工作站为空。如何查找?

首先,如果我为这个问题选择了错误的主题,我深感抱歉。

我在 DC 上收到大量有关名为域的帐户的登录失败信息。显然,有人在那里输入的是域名而不是用户名。我正在尝试找出登录失败的原因并进行补救。

请参阅下面的 Windows 错误消息:

> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security    Source=Microsoft-Windows-Security-Auditing   
> Computer=my_domain_controller.mydomain.local    User=    Domain=    EventID=4625   
> EventIDCode=4625    EventType=16    EventCategory=12544   
> RecordNumber=1496134876135    TimeGenerated=1496134771119   
> TimeWritten=1496134771119    Message=An account failed to log on.   
> Subject:   Security ID:  S-1-0-0   Account Name:  -   Account Domain: 
> -   Logon ID:  0x0    Logon Type:   3    Account For Which Logon Failed:   Security ID:  S-1-0-0   Account Name:  mydomain   Account
> Domain:      Failure Information:   Failure Reason:  %%2313   Status: 
> 0xc000006d   Sub Status:  0xc0000064    Process Information:   Caller
> Process ID: 0x0   Caller Process Name: -    Network Information:  
> Workstation Name:    Source Network Address: -   Source Port:  -   
> Detailed Authentication Information:   Logon Process:  NtLmSsp   
> Authentication Package: NTLM   Transited Services: -   Package Name
> (NTLM only): -   Key Length:  0



> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security    Source=Microsoft-Windows-Security-Auditing   
> Computer=my_domain_controller.mydomain.local    User=    Domain=    EventID=4776   
> EventIDCode=4776    EventType=16    EventCategory=14336   
> RecordNumber=1496134876135    TimeGenerated=1496134775413   
> TimeWritten=1496134775413    Message=The computer attempted to
> validate the credentials for an account.    Authentication Package:
> MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  Logon Account: mydomain 
> Source Workstation:   Error Code: 0xc0000064

在这个日志中,源 IP 是 DC 的 IP(虽然没问题)。但是“工作站名称”是空的。但是,登录类型:3 表示它是网络登录。所以我找不到它来自哪里。

我认为这可能是通过 SSL/TLS 建立的 RDP 连接,但在这种情况下,不应使用 NTLM。对吗?

或者这些是通过 IIS 进行的身份验证尝试?但为什么我得到的信息这么少?

或者...所以我真的不知道它会是什么以及如何阻止它。

也许一些额外的审计政策可能会提供更多信息?

将启用额外的“NTLM 审计”,它可能会给我更多信息。

有什么建议吗?

相关内容