Event 4625 Audit Failure NULL SID nie powiodło się logowanie do sieci


10

W 3 oddzielnych systemach następujące zdarzenie jest rejestrowane wiele razy (od 30 do 4000 razy dziennie, w zależności od systemu) na serwerze kontrolera domeny:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

To wydarzenie różni się nieco od wszystkich innych, które znalazłem podczas badań, ale ustaliłem, co następuje:

  1. Event ID: 4625. „Nie można się zalogować na konto” .
  2. Logon Type: 3. „Sieć (tj. Połączenie z folderem współdzielonym na tym komputerze z innego miejsca w sieci)” .
  3. Security ID: NULL SID. „Nie zidentyfikowano ważnego konta” .
  4. Sub Status: 0xC0000064. „Nazwa użytkownika nie istnieje” .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Usługa podsystemu Local Security Authority (LSASS) to proces w systemach operacyjnych Microsoft Windows, który jest odpowiedzialny za egzekwowanie zasad bezpieczeństwa w systemie. Weryfikuje użytkowników logujących się na komputerze lub serwerze z systemem Windows, obsługuje zmiany haseł i tworzy tokeny dostępu. Zapisuje także w dzienniku zabezpieczeń systemu Windows.
  6. Workstation Name: SERVERNAME. Żądanie uwierzytelnienia jest przesyłane przez sam kontroler domeny lub za jego pośrednictwem.

Podobieństwa systemów, których dotyczy problem:

  1. System operacyjny serwera: Windows Small Business Server 2011 lub Windows Server 2012 R2 Essentials
  2. Komputerowy system operacyjny: Windows 7 Professional (ogólnie)

Różnice w systemach, których dotyczy problem:

  1. Antywirusowe
  2. Filtrowanie Internetu zintegrowane z Active Directory
  3. Logowanie do pamięci podręcznej na pulpicie
  4. Role (wymiana, tworzenie kopii zapasowych itp.)

Kilka interesujących rzeczy, które zauważyłem w najbardziej dotkniętym systemie:

  1. Niedawno rozpoczęliśmy synchronizację haseł kont użytkowników usługi Active Directory i Office 365 za pomocą integracji Office 365 systemu Windows Server 2012 R2 Essentials. Integracja wymaga eskalacji hasła administratora Office 365 i zasad bezpieczeństwa. Synchronizacja wymaga przypisania każdego konta użytkownika do odpowiedniego konta Microsoft online, co wymaga zmiany hasła do konta przy następnym logowaniu. Dodaliśmy również ich podstawową domenę e-mail jako sufiks UPN w domenach i relacjach zaufania w usłudze Active Directory i zmieniliśmy UPN wszystkich kont użytkowników na ich domenę e-mail. W efekcie pozwoliło im to zalogować się do domeny i Office 365 przy użyciu adresu e-mail i hasła. Jednak od tego czasu liczba dziennych zdarzeń wzrosła z ~ 900 do ~ 3900. Uwaga:
  2. Wydaje się, że większość zdarzeń jest rejestrowana w regularnych odstępach czasu, zwykle co 30 lub 60 minut, z wyjątkiem ~ 09: 00, czyli kiedy użytkownicy przybywają do pracy: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 /
    07/03 09:08 2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. Następujące zdarzenie jest rejestrowane na serwerze usług terminalowych / zdalnych usług pulpitu, chociaż nigdy nie jest tak wiele razy:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Podsumowując, zdecydowanie wydaje się, że jest to związane z dostępem do sieci z komputerów stacjonarnych korzystających z kont użytkowników, ale nie widzę, jak to zrobić.

Aktualizacja 2015/08/25 08:48:

W najbardziej dotkniętym systemie wykonałem następujące czynności, aby wyizolować problem i po każdym cofnięciu zmiany:

  1. Zamknij serwer usług terminalowych / usług pulpitu zdalnego, a ogólne niepowodzenia logowania nie powiodły się .
  2. Odłączono serwer kontrolera domeny od sieci, a ogólne niepowodzenia logowania nie powiodły się .
  3. Zrestartowano serwer w trybie awaryjnym bez sieci, a ogólne nieudane logowania nie były kontynuowane.
  4. Zatrzymane i wyłączone wszystkie „zbędne” usługi (monitorowanie agenta, kopii zapasowej, sieć integracji filtrujący TeamViewer, antywirusowe, itp) i generyczne nieudane logowania nie kontynuować.
  5. Zatrzymany i niepełnosprawnych usługi Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, i WseNtfSvc) oraz ogólne nieudane logowania nie kontynuować.
  6. W końcu zatrzymał i wyłączył usługę zarządzania Windows Server Essentials ( WseMgmtSvc), a ogólne niepowodzenia logowania nie powiodły się .

Dokładnie sprawdziłem, czy usługa zarządzania systemem Windows Server Essentials ( WseMgmtSvc) jest odpowiedzialna za te ogólne nieudane logowania, wyłączając je na kilka dni i nie było żadnych ogólnych nieudanych logowań i włączono je na kilka dni oraz tysiące ogólnych nieudanych logowań .

Aktualizacja 2015/10/08 09:06:

W dniu 2015/10/07 o 16:42 znalazłem następujące zaplanowane zadanie:

  • Nazwa: „Oceny alertów”
  • Lokalizacja: „\ Microsoft \ Windows \ Windows Server Essentials”
  • Autor: „Microsoft Corporation”
  • Opis: „To zadanie okresowo ocenia stan komputera.”
  • Konto: „SYSTEM”
  • Wyzwalacze: „O 8:54 w dniu 28.10.2014 - Po uruchomieniu powtarzaj co 30 minut w nieskończoność”
  • Działania: „Uruchom program: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll” /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "

Ten przedział czasu prawie dokładnie odpowiada powyższemu zachowaniu, więc go wyłączyłem, aby sprawdzić, czy ma to wpływ na problem.

W dniu 2015/10/08 o 08:57 stwierdziłem, że tylko 47 z tych ogólnych nieudanych logowań było zalogowanych, ponieważ w nieregularnych odstępach czasu.

Więc zawęziłem to jeszcze bardziej.


Jakiej metody użyłeś do skonfigurowania swoich maszyn win7?
dziwny piechur

@strange walker Prawdopodobnie w każdym z 3 środowisk, których dotyczy problem, partię początkowych komputerów PC skonfigurowano w następujący sposób: skonfigurowano jeden komputer (sterowniki, oprogramowanie itp.), utworzono obraz komputera, pozostałe komputery zostały obrazowane przy użyciu skonfigurowanego obrazu, a następnie nazwa każdego komputera PC została zmieniona i dodana do domeny za pomocą Kreatora oprogramowania sprzęgającego.
mythofechelon

Szczerze mówiąc po prostu zignorowałbym te wydarzenia. Windows tworzy niezliczoną liczbę zdarzeń związanych z bezpieczeństwem, a to zdarzenie zdecydowanie nie jest szkodliwe.
Lucky Luke

@Lucky Luke Niestety, nasz system monitorowania nie potrafi rozróżnić między nieudanymi zdarzeniami logowania, więc nie możemy tak naprawdę podnieść progu kontroli na wypadek, gdybyśmy pominęli faktyczny problem.
mythofechelon

1
@Lucky Luke Zastanawiamy się, ale to trochę dłużej i nie rozwiązuje to podstawowej przyczyny, niestety, więc wciąż potrzebuję odpowiedzi na to pytanie.
mythofechelon

Odpowiedzi:


5

To zdarzenie jest zwykle spowodowane przez nieaktualne ukryte dane uwierzytelniające. Wypróbuj to w systemie, podając błąd:

Z poziomu wiersza poleceń: psexec -i -s -d cmd.exe
Z nowego okna cmd uruchom: rundll32 keymgr.dll,KRShowKeyMgr

Usuń wszystkie elementy, które pojawiają się na liście Przechowywanych nazw użytkowników i haseł. Zrestartuj komputer.


Brak wpisów. Czy to nie to samo, co Credential Manager?
mythofechelon

@mythofechelon - Tak, technicznie jest to „Credential Manager”, ale Credential Manager przechowuje poświadczenia dla poszczególnych użytkowników. Użycie psexec do otwarcia okna cmd SYSTEM, a następnie uruchomienie Credential Manager uruchamia Credential Manager jako użytkownik SYSTEM, który jest kontem komputera lokalnego.
Thomas

1

Wygląda na to, że problem został spowodowany przez zaplanowane zadanie „Oceny alarmów”.


Co masz na myśli przez to? Co robi to zadanie? Co było nie tak z tym, że występowały błędy?
Ashley,

Cóż, jeśli przeczytasz moją diagnostykę, zobaczysz, że ramy czasowe są dopasowane, a wyłączenie jej rozwiązało problem.
mythofechelon

3
Nie, nie rozwiązało problemu - ukryło problem.
NickG
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.