事件 4625 审核失败 NULL SID 网络登录失败

Question

在 3 个独立的系统中，域控制器服务器上多次记录以下事件（每天 30 到 4,000 次，具体取决于系统）：

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

此事件与我在研究期间发现的所有其他事件略有不同，但我已确定以下内容：

1. Event ID: 4625. “帐户登录失败”。
2. Logon Type: 3. “网络（即从网络上的其他地方连接到这台计算机上的共享文件夹）”。
3. Security ID: NULL SID. “未识别有效帐户”。
4. Sub Status: 0xC0000064. “用户名不存在”。
5. Caller Process Name: C:\Windows\System32\lsass.exe. 本地安全机构子系统服务 (LSASS) 是 Microsoft Windows 操作系统中的一个进程，负责在系统上实施安全策略。它验证登录到 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。它还会写入 Windows 安全日志。
6. Workstation Name: SERVERNAME. 身份验证请求由域控制器本身提交或通过域控制器提交。

受影响系统的相似之处：

1. 服务器操作系统：Windows Small Business Server 2011 或 Windows Server 2012 R2 Essentials
2. 桌面操作系统：Windows 7 Professional（一般）

受影响系统的差异：

1. 杀毒软件
2. 集成 Active Directory 的 Internet 过滤
3. 桌面缓存登录
4. 角色（交换、备份等）

我在受影响最严重的系统中注意到了一些有趣的事情：

1. 我们最近开始通过 Windows Server 2012 R2 Essentials 的 Office 365 集成同步 Active Directory 和 Office 365 用户帐户密码。集成需要 Office 365 管理员密码和要升级的安全策略。同步要求将每个用户帐户分配给相应的 Microsoft 在线帐户，这需要在下次登录时更改帐户密码。我们还在 Active Directory 域和信任中添加了他们的主要电子邮件域作为 UPN 后缀，并将所有用户帐户的 UPN 更改为他们的电子邮件域。实际上，这允许他们使用他们的电子邮件地址和密码登录域和 Office 365。但是，由于这样做，每天记录的事件数量从 ~900 增加到 ~3,900。笔记：
2. 大部分事件似乎定期记录，通常每 30 或 60 分钟记录一次，除了 ~09:00 用户到达工作时间：2015/07/02 18:55
   2015/07/02 19:25
   2015 / 7月2日19:54
   2015年7月2日20:25
   2015年7月2日20:54
   2015年7月2日21:25
   2015年7月2日22:24
   2015年7月2日23:25
   2015/07 /03 00:25
   2015/07/03 01:24
   2015/07/03 01:55
   2015/07/03
   02:24 2015/07/03
   02:55 2015/07/03 03:
   55/03 03: 55/03 04:55
   2015/07/03 05:54
   2015/07/03 06:25
   2015/07/03 07:25
   2015/07/03 08:24
   2015/07/03 08:27
   2015/07/03 49
   2015/07/03 08:52
   2015/07/03 08:54
   2015年7月3日8点五十六
   2015年7月3日8点57
   2015年7月3日09:00
   2015年7月3日09:01
   2015年7月3日09:03
   2015年7月3日09:06
   2015 / 07/03 09:08
   2015年7月3日9点10
   2015年7月3日9点十二
   2015年7月3日9时13
   2015年7月3日9点17
   2015年7月3日9点13分
   2015/07 / 03 09:25
   2015/07/03 10:24
   2015/07/03 11:25

3. 以下事件记录在终端/远程桌面服务服务器上，但次数远不及：

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

因此，总而言之，它似乎肯定与使用员工用户帐户从台式计算机访问网络有关，但我看不出是如何进行的。

2015/08/25 08:48 更新：

在受影响最严重的系统中，我已执行以下操作来隔离问题，并在每次恢复更改后执行以下操作：

1. 关闭终端/远程桌面服务服务器，通用失败登录确实继续。
2. 断开域控制器服务器与网络的连接，并且通用失败登录确实继续。
3. 在没有网络的情况下将服务器重新启动到安全模式，并且通用失败的登录没有继续。
4. 停止并禁用所有“不必要的”服务（监控代理、备份、网络过滤集成、TeamViewer、防病毒等），并且通用的失败登录确实继续存在。
5. 停止并禁用的Windows服务器基本服务（WseComputerBackupSvc，WseEmailSvc，WseHealthSvc，WseMediaSvc，WseMgmtSvc，和WseNtfSvc）和通用登录失败并没有继续下去。
6. 最终，停止并禁用了 Windows Server Essentials 管理服务 ( WseMgmtSvc) 并且通用失败登录没有继续。

我已经仔细检查了 Windows Server Essentials 管理服务 ( WseMgmtSvc) 是否对这些通用登录失败负责.

2015/10/08 09:06 更新：

在 2015/10/07 在 16:42 我发现了以下计划任务：

• 名称：“警报评估”
• 位置：“\Microsoft\Windows\Windows Server Essentials”
• 作者：《微软公司》
• 描述：“此任务会定期评估计算机的运行状况。”
• 帐号：“系统”
• 触发器：“在 28/10/2014 的 08:54 - 触发后，无限期地每 30 分钟重复一次”
• 操作：“启动程序：C:\Windows\System32\Essentials\RunTask.exe /asm:”C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll” /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask /method:EvaluateAlertsTaskAction /task:"警报评估""

这个时间范围几乎与上面的行为完全匹配，所以我禁用了它以查看它是否会影响问题。

在 2015/10/08 的 08:57，我发现这些通用失败登录中只有 47 次被记录下来，因为它不定期地记录。

所以，我进一步缩小了范围。

Answer 1

此事件通常是由陈旧的隐藏凭证引起的。从给出错误的系统中尝试此操作：

从命令提示符运行： psexec -i -s -d cmd.exe
从新的 cmd 窗口运行： rundll32 keymgr.dll,KRShowKeyMgr

删除出现在存储的用户名和密码列表中的任何项目。重新启动计算机。

Answer 2

看来该问题是由计划任务“警报评估”引起的。