如何在 Windows Server 2012 中查找 4625 事件 ID 的来源

tag-icon tag-icon windows-server-2012-r2 brute-force-attacks
如何在 Windows Server 2012 中查找 4625 事件 ID 的来源

我的事件日志中出现许多审核失败,事件 ID 为 4625,登录类型为 3。

这个问题出在我的服务器(内部服务或应用程序)上吗?还是这是暴力攻击?最后,我如何找到此登录的来源并解决问题?

这是“常规”选项卡中的详细信息:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -

答案1

我在这里找到了有效的解决方案:https://github.com/DigitalRuby/IPBan

对于 Windows Server 2008 或同等版本,您应该禁用 NTLM 登录并仅允许 NTLM2 登录。在 Windows Server 2008 上,无法获取 NTLM 登录的 IP 地址。使用 secpol -> 本地策略 -> 安全选项 -> 网络安全限制 ntlm 传入 ntlm 流量 -> 拒绝所有帐户。

在 RU 版本中: 基本身份验证 -> 基本身份验证 -> 身份验证辅助 -> 身份验证策略: NTLM 身份验证: NTLM 身份验证 -> 禁用所有身份验证

答案2

我在服务器上遇到过相同类型的事件。有数百次使用不同用户名的登录尝试,但没有进程 ID 或 IP 地址可见。

我很确定它来自没有网络级身份验证的互联网上的 RDP 连接。

答案3

这些都是黑客攻击。攻击者的目标是暴力破解你的服务器的账户/密码。

我建议安装一个简单的入侵检测系统 (IDS)。您可能需要考虑 RDPGuard(商业)、IPBan、evlWatcher。我自己使用 Cyber​​arms IDDS。这个很简单,有一个友好的界面(但需要 .NET Framework 4.0)。

这个想法很简单:IDS 监控服务器的安全日志,查找可疑的登录失败事件。然后软锁定尝试来自的 IP 地址。您还可以配置当来自软锁定 IP 的尝试继续时进行硬锁定。

答案4

此事件通常是由过期的隐藏凭证引起的。尝试从出现错误的系统中执行此操作:

从命令提示符运行: psexec -i -s -d cmd.exe
从新的 cmd 窗口运行: rundll32 keymgr.dll,KRShowKeyMgr

删除“存储的用户名和密码”列表中显示的所有项目。重新启动计算机。

来源:这将允许您查看、添加、删除或编辑存储的 .NET 用户名和密码。每个用户名和密码都有唯一的凭证,可帮助您验证域中的服务。

相关内容