我的服务器不断收到登录失败事件 (4625)。这些事件每天大约每 20-30 分钟发生一次。而且似乎有计划发生。
我尝试删除存储的凭证。禁用 RDS。我尝试使用 Procmon 和 Wireshark 查找模式,一度认为它可能是 Labtech (ConnectWise Automate) 的服务,但暂时禁用它并没有什么作用。
帐户登录失败。
主题:
Security ID: SYSTEM
Account Name: SERVER$
Account Domain: DOMAIN
Logon ID: 0x3E7
登录类型:3
登录失败的帐户:
Security ID: NULL SID
Account Name:
Account Domain:
失败信息:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
处理信息:
Caller Process ID: 0x2f4
Caller Process Name: C:\Windows\System32\lsass.exe
网络信息:
Workstation Name: SERVER
Source Network Address: -
Source Port: -
详细认证信息:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
答案1
正如你提到的,这次活动提供的有用信息非常少。我们能看到的是:
- 错误代码:0xC0000064 > STATUS_NO_SUCH_USER / 帐户不存在
- 登录类型:3> 使用 NLA 的网络或 RDP
- 认证包:凯尔伯罗斯
- 源主机名:服务器本身
简而言之,“某些东西”正在使用错误的用户名在本地运行,并尝试使用 Kerberos 协议通过网络进行身份验证。
因此,我能给你的唯一“线索”是:
- 查找潜在事件 ID 4776(凭证验证)
- 查看 DC 日志中是否有奇怪的失败 Kerberos 事件 ID:4771、4768
- 在资源监视器中,查看不同的选项卡并查找可能在本地打开多个查询的进程
- 在 PerfMon > Trace 会话中,查看软件中现有的会话跟踪是否可以帮助您
- ConnectWise 的应用程序日志怎么样?