首先,如果我为这个问题选择了错误的主题,我深感抱歉。
我在 DC 上收到大量有关名为域的帐户的登录失败信息。显然,有人在那里输入的是域名而不是用户名。我正在尝试找出登录失败的原因并进行补救。
请参阅下面的 Windows 错误消息:
> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing
> Computer=my_domain_controller.mydomain.local User= Domain= EventID=4625
> EventIDCode=4625 EventType=16 EventCategory=12544
> RecordNumber=1496134876135 TimeGenerated=1496134771119
> TimeWritten=1496134771119 Message=An account failed to log on.
> Subject: Security ID: S-1-0-0 Account Name: - Account Domain:
> - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: mydomain Account
> Domain: Failure Information: Failure Reason: %%2313 Status:
> 0xc000006d Sub Status: 0xc0000064 Process Information: Caller
> Process ID: 0x0 Caller Process Name: - Network Information:
> Workstation Name: Source Network Address: - Source Port: -
> Detailed Authentication Information: Logon Process: NtLmSsp
> Authentication Package: NTLM Transited Services: - Package Name
> (NTLM only): - Key Length: 0
> <13>May 30 09:07:43 192.168.1.1(<- IP address of a DC) AgentDevice=WindowsLog
> AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing
> Computer=my_domain_controller.mydomain.local User= Domain= EventID=4776
> EventIDCode=4776 EventType=16 EventCategory=14336
> RecordNumber=1496134876135 TimeGenerated=1496134775413
> TimeWritten=1496134775413 Message=The computer attempted to
> validate the credentials for an account. Authentication Package:
> MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: mydomain
> Source Workstation: Error Code: 0xc0000064
在这个日志中,源 IP 是 DC 的 IP(虽然没问题)。但是“工作站名称”是空的。但是,登录类型:3 表示它是网络登录。所以我找不到它来自哪里。
我认为这可能是通过 SSL/TLS 建立的 RDP 连接,但在这种情况下,不应使用 NTLM。对吗?
或者这些是通过 IIS 进行的身份验证尝试?但为什么我得到的信息这么少?
或者...所以我真的不知道它会是什么以及如何阻止它。
也许一些额外的审计政策可能会提供更多信息?
将启用额外的“NTLM 审计”,它可能会给我更多信息。
有什么建议吗?