事件 4625 审核失败 NULL SID 网络登录失败

在 3 个独立的系统中，域控制器服务器上多次记录以下事件（每天 30 到 4,000 次，具体取决于系统）：

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

这次事件与我在研究过程中发现的其他事件略有不同，但我已确定以下几点：

1. Event ID: 4625。“帐户登录失败”。
2. Logon Type: 3。“网络（即从网络上的其他地方连接到此计算机上的共享文件夹）”。
3. Security ID: NULL SID。“未识别有效帐户”。
4. Sub Status: 0xC0000064。“用户名不存在”。
5. Caller Process Name: C:\Windows\System32\lsass.exe。本地安全机构子系统服务 (LSASS) 是 Microsoft Windows 操作系统中的一个进程，负责在系统上执行安全策略。它验证登录 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。它还会写入 Windows 安全日志。
6. Workstation Name: SERVERNAME。身份验证请求正在由域控制器本身提交或通过域控制器本身提交。

受影响系统的相似之处：

1. 服务器操作系统：Windows Small Business Server 2011 或 Windows Server 2012 R2 Essentials
2. 桌面操作系统：Windows 7 Professional（一般）

受影响系统的差异：

1. 防病毒
2. Active Directory 集成的 Internet 过滤
3. 桌面缓存登录
4. 角色（交换、备份等）

在受影响最严重的系统中我注意到了一些有趣的事情：

1. 我们最近开始通过 Windows Server 2012 R2 Essentials 的 Office 365 集成来同步 Active Directory 和 Office 365 用户帐户密码。集成需要 Office 365 管理员密码和升级安全策略。同步需要将每个用户帐户分配给相应的 Microsoft 在线帐户，这需要在下次登录时更改帐户的密码。我们还在 Active Directory 域和信任中将其主要电子邮件域添加为 UPN 后缀，并将所有用户帐户的 UPN 更改为其电子邮件域。实际上，这允许他们使用其电子邮件地址和密码登录域和 Office 365。但是，自从这样做以来，每天记录的事件数已从约 900 增加到约 3,900。注意：没有任何管理或基于工作（备份、扫描仪等）的用户帐户被修改，并且没有用户在访问系统的任何部分时遇到问题。
2. 大部分事件似乎都是定期记录的，通常每 30 或 60 分钟记录一次，但 ~09:00（用户到达工作时间）除外：2015/07/02 18:55
   2015/07/02 19:25
   2015/07/02 19:54 2015/07/02 20:25
   2015/07/02 20:54
   2015/07/02 21:25
   2015/07/02 22:24
   2015/07/02 23:25
   2015/07/03 00:25
   2015/07/03
   01:24
   2015/07/03 01:55
   2015/07/03 02:24
   2015/07/03 02:55
   2015/07/03 03:55
   2015/07/03 04:55
   2015/07/03 05:54 2015/07/03 06:25 2015/07/03
   07:25 2015/07/03 08:24 2015/07/03 08:27 2015/07/03 08:49 2015/07/03 08:52 2015/07/03 08:54 2015/07/03 08:56 2015/07/03 08:57 2015/07/03 09:00 2015/07/03 09:01 2015/07/03 09:03 2015/07/03 09:06 2015/07/03 09:08 2015/07/03 09:10 2015/07/03 09:12 2015/07/03 09:13 2015/07/03 09:17 2015/07/03 09:13 2015/07/03 09:25 2015/07/03 10:24 2015/07/03 11:25
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

3. 以下事件记录在终端/远程桌面服务服务器上，尽管次数并不多：

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

因此，总而言之，这似乎肯定与使用员工用户帐户的台式计算机进行网络访问有关，但我不知道如何。

更新 2015/08/25 08:48：

在受影响最严重的系统中，我已执行以下操作来隔离问题，并在每次恢复更改后：

1. 关闭终端/远程桌面服务服务器和通用失败登录做过继续。
2. 断开域控制器服务器与网络的连接，导致一般登录失败做过继续。
3. 将服务器重新启动到无网络连接的安全模式，但登录仍然失败没有继续。
4. 停止并禁用所有“不必要的”服务（监控代理、备份、网络过滤集成、TeamViewer、防病毒软件等）以及常规登录失败做过继续。
5. 已停止并禁用 Windows Server Essentials 服务（、、、、WseComputerBackupSvc和）以及常规登录失败WseEmailSvcWseHealthSvcWseMediaSvcWseMgmtSvcWseNtfSvc没有继续。
6. 最终，停止并禁用了 Windows Server Essentials 管理服务 ( WseMgmtSvc) 和常规登录失败没有继续。

我已仔细检查过 Windows Server Essentials 管理服务 ( WseMgmtSvc) 是否对这些通用登录失败负责，方法是：禁用它几天后没有出现通用登录失败，启用它几天后出现数千次通用登录失败。

更新 2015/10/08 09:06：

2015/10/07 16:42我发现以下计划任务：

• 名称：“警报评估”
• 位置：“\Microsoft\Windows\Windows Server Essentials”
• 作者：“微软公司”
• 描述：“此任务定期评估计算机的健康状况。”
• 账户：“SYSTEM”
• 触发器：“2014 年 10 月 28 日 08:54 - 触发后，每 30 分钟无限重复一次”
• 操作：“启动程序：C:\Windows\System32\Essentials\RunTask.exe /asm：“C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll”/class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask /method:EvaluateAlertsTaskAction /task：“Alert Evaluations””

这个时间范围几乎与上面的行为完全匹配，所以我禁用它以查看它是否影响问题。

2015 年 10 月 8 日 08:57，我发现由于时间间隔不规律，只有 47 次此类一般登录失败被记录下来。

因此，我进一步缩小了范围。