那些遇到过的问题

相关疑难解决方法(0)

没有源 IP 的事件 ID 4625

我们总共将 7 个 Windows Server (2008/2012) R2 标准版用于开发和生产环境。上个月我们的服务器遭到入侵,我们在 Windows 事件查看器中发现了许多失败的尝试日志。我们尝试了网络武器 IDDS,但之前并没有证明它是好的。

现在我们重新镜像了所有服务器并重命名了管理员/访客帐户。再次设置服务器后,我们将使用此 ID来检测和阻止不需要的 IP 地址。

IDDS 运行良好,但我们仍然在没有任何源 IP 地址的事件查看器中收到 4625 个事件。如何阻止来自匿名 IP 地址的这些请求?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data> …
Run Code Online (Sandbox Code Playgroud)

windows-server-2008-r2 windows-server-2012-r2

Ala*_*lan
2015 04-20
10
推荐指数
2
解决办法
4万
查看次数

如何在 Windows Server 2012 中找到 4625 事件 ID 的来源

我的事件日志中有许多事件 ID 为 4625 且登录类型为 3 的审核失败。

这个问题是否来自我的服务器(内部服务或应用程序)?或者这是蛮力攻击?最后,我怎样才能找到这个登录的来源并解决问题?

这是常规选项卡中的详细信息:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: - …
Run Code Online (Sandbox Code Playgroud)

brute-force-attacks windows-server-2012-r2

Moh*_*وسی
2016 02-25
10
推荐指数
2
解决办法
6万
查看次数

事件查看器中的安全日志不存储 IP

我想编写一个服务来提取事件查看器记录,特别是从安全日志中提取。我特别感兴趣的是诸如事件 ID 4625(审计失败)消息之类的东西。理想情况下,我想nm一段时间内存储导致审计失败多次的客户端 IP 。

听起来很简单,所以我很快就创建了一个 .NET 服务来做到这一点。但是,当我提取这些审核失败时,“源网络地址”值始终等于“-”。我想知道 Windows 如何一路登录,以失败告终并且不知道对等方的 IP 地址。

同样值得注意的是,IP 地址被记录的次数很少,日志条目实际上包含许多其他有用的信息(例如生成它的进程、失败原因、传输的服务等)。

有人可以告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗?

security windows logging windows-event-log

kma*_*ks2
2012 06-19
5
推荐指数
2
解决办法
3万
查看次数

标签 统计

windows-server-2012-r2 ×2

brute-force-attacks ×1

logging ×1

security ×1

windows ×1

windows-event-log ×1

windows-server-2008-r2 ×1