Moh*_*وسی 10 brute-force-attacks windows-server-2012-r2
我的事件日志中有许多事件 ID 为 4625 且登录类型为 3 的审核失败。
这个问题是否来自我的服务器(内部服务或应用程序)?或者这是蛮力攻击?最后,我怎样才能找到这个登录的来源并解决问题?
这是常规选项卡中的详细信息:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: aaman
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: test2
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
**And this is detailed information in Detail Tab:**
+ System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2015-05-09T06:57:00.043746400Z
EventRecordID 2366430
Correlation
- Execution
[ ProcessID] 696
[ ThreadID] 716
Channel Security
Computer WIN-24E2M40BR7H
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName aaman
TargetDomainName
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc0000064
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName test2
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress -
IpPort -
小智 6
我在这里找到的工作解决方案:https : //github.com/DigitalRuby/IPBan
对于 Windows Server 2008 或同等版本,您应该禁用 NTLM 登录并只允许 NTLM2 登录。在 Windows Server 2008 上,无法获取 NTLM 登录的 IP 地址。使用 secpol -> 本地策略 -> 安全选项 -> 网络安全限制 ntlm 传入 ntlm 流量 -> 拒绝所有帐户。
在 RU 版本中:????????? ????????? ???????????? -> ????????? ????????? -> ????????? ???????????? -> ??????? ????????????: ??????????? NTLM:???????????????NTLM -> ????????? ?????????? ??????
小智 0
发生这种情况时是否有域控制器被关闭?这看起来与本文中描述的场景非常相似:
https://support.microsoft.com/en-us/kb/2683606
当 Windows 进入关闭状态时,它应该告诉尝试针对 DC 进行身份验证的新客户端,他们需要联系不同的 DC。但在某些情况下,DC 会回复客户端用户不存在。这将导致重复的身份验证失败,直到域控制器最终完成关闭并且客户端被迫切换 DC。
本文提出的解决方案是在关闭服务器之前停止域控制器上的netlogon服务。这使得它在进入关闭状态之前无法进行身份验证,并强制客户端寻找新的 DC。
| 归档时间: |
|
| 查看次数: |
56872 次 |
| 最近记录: |