Security

事件 4625 審核失敗 NULL SID 網路登錄失敗

  • August 23, 2016

在 3 個不同的系統中,域控制器伺服器上會多次記錄以下事件(每天 30 到 4,000 次,具體取決於系統):

An account failed to log on.

Subject:
   Security ID:        SYSTEM
   Account Name:       %domainControllerHostname%$
   Account Domain:     %NetBIOSDomainName%
   Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
   Security ID:        NULL SID
   Account Name:       
   Account Domain:     

Failure Information:
   Failure Reason:     Unknown user name or bad password.
   Status:         0xc000006d
   Sub Status:     0xc0000064

Process Information:
   Caller Process ID:  0x1ec
   Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
   Workstation Name:   %domainControllerHostname%
   Source Network Address: -
   Source Port:        -

Detailed Authentication Information:
   Logon Process:      Schannel
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
   - Transited services indicate which intermediate services have participated in this logon request.
   - Package name indicates which sub-protocol was used among the NTLM protocols.
   - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

此事件與我在研究期間發現的所有其他事件略有不同,但我確定了以下內容:

  1. Event ID: 4625. “帳戶登錄失敗”
  2. Logon Type: 3. “網路(即從網路上的其他地方連接到這台電腦上的共享文件夾)”
  3. Security ID: NULL SID. “未辨識出有效帳戶”
  4. Sub Status: 0xC0000064. “使用者名不存在”
  5. Caller Process Name: C:\Windows\System32\lsass.exe. 本地安全機構子系統服務 (LSASS),是 Microsoft Windows 作業系統中負責在系統上實施安全策略的程序。它驗證使用者登錄到 Windows 電腦或伺服器,處理密碼更改,並創建訪問令牌。它還寫入 Windows 安全日誌​​。
  6. Workstation Name: SERVERNAME. 身份驗證請求是由域控制器本身或通過域控制器本身送出的。

受影響系統的相似之處:

  1. 伺服器作業系統:Windows Small Business Server 2011 或 Windows Server 2012 R2 Essentials
  2. 桌面作業系統:Windows 7 Professional(一般)

受影響系統的差異:

  1. 防毒軟體
  2. Active Directory 集成的 Internet 過濾
  3. 桌面記憶體登錄
  4. 角色(交換、備份等)

在受影響最嚴重的系統中,我注意到了一些有趣的事情:

  1. 我們最近開始通過 Windows Server 2012 R2 Essentials 的 Office 365 集成同步 Active Directory 和 Office 365 使用者帳戶密碼。集成需要 Office 365 管理員密碼和升級的安全策略。同步要求將每個使用者帳戶分配給相應的 Microsoft 線上帳戶,這需要在下次登錄時更改帳戶密碼。我們還在 Active Directory 域和信任中添加了他們的主電子郵件域作為 UPN 後綴,並將所有使用者帳戶的 UPN 更改為他們的電子郵件域。實際上,這允許他們使用他們的電子郵件地址和密碼登錄域和 Office 365。但是,自從這樣做以來,每天記錄的事件數量從 ~900 增加到 ~3,900。筆記:
  2. 大部分事件似乎定期記錄,通常每 30 或 60 分鐘一次,除了 ~09:00,即使用者上班時:2015/07/02 18:55

2015/07/02 19:25

2015 /07/02 19:54

2015/07/02 20:25

2015/07/02 20:54

2015/07/02 21:25

2015/07/02 22:24

2015/07/02 23:25

2015/07 /03 00:25

2015/07/03 01:24

2015/07/03 01:55

2015/07/03

02:24 2015/07/03 02:55

2015/07/03 03:55

2015/07/03 04:55

2015/07/03 05:54

2015/07/03 06:25

2015/07/03 07:25

2015/07/03 08:24

2015/07/03 08:27

2015/07/03 08: 49

2015/07/03 08:52

2015/07/03 08:54

2015/07/03 08:56

2015/07/03 08:57

2015/07/03 09:00

2015/07/03 09:01

2015/07/03 09:03

2015/07/03 09:06

2015/07/03 09:08

2015/07/03 09:10

2015/07/03 09:12

2015/07/03 09:13

2015/07/03 09:17

2015/07/03 09:13

2015/07/03 09:25

2015/07/03 10:24

2015/07/03 11:25 3. 以下事件記錄在終端/遠端桌面服務伺服器上,但次數遠不及:

An account failed to log on.

Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
   Security ID:        NULL SID
   Account Name:       %terminalServerHostname%
   Account Domain:     %NetBIOSDomainName%

Failure Information:
   Failure Reason:     Unknown user name or bad password.
   Status:         0xC000006D
   Sub Status:     0xC0000064

Process Information:
   Caller Process ID:  0x0
   Caller Process Name:    -

Network Information:
   Workstation Name:   %terminalServerHostname%
   Source Network Address: %terminalServerIPv6Address%
   Source Port:        %randomHighNumber%

Detailed Authentication Information:
   Logon Process:      NtLmSsp 
   Authentication Package: NTLM
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
   - Transited services indicate which intermediate services have participated in this logon request.
   - Package name indicates which sub-protocol was used among the NTLM protocols.
   - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

因此,總而言之,它似乎肯定與使用員工使用者帳戶從台式電腦進行網路訪問有關,但我不知道如何。

2015/08/25 08:48 更新:

在受影響最嚴重的系統中,我執行了以下操作來隔離問題,並在每次恢復更改後:

  1. 關閉終端/遠端桌面服務伺服器,一般失敗的登錄確實繼續。
  2. 斷開域控制器伺服器與網路的連接,一般失敗的登錄確實繼續。
  3. 在沒有網路的情況下將伺服器重新啟動到安全模式,並且一般失敗的登錄沒有繼續。
  4. 停止並禁用所有“不必要的”服務(監控代理、備份、網路過濾集成、TeamViewer、防病毒等),通用失敗登錄確實繼續。
  5. 已停止並禁用 Windows Server Essentials 服務(WseComputerBackupSvcWseEmailSvcWseHealthSvcWseMediaSvcWseMgmtSvcWseNtfSvc),並且通用失敗登錄沒有繼續。
  6. 最終,停止並禁用了 Windows Server Essentials 管理服務 ( WseMgmtSvc),通用失敗登錄沒有繼續。

我已經仔細檢查了 Windows Server Essentials 管理服務 ( WseMgmtSvc) 是否對這些通用失敗登錄負責.

2015/10/08 09:06 更新:

在 2015/10/07 16:42 我發現了以下計劃任務:

  • 名稱:“警報評估”
  • 位置:“\Microsoft\Windows\Windows Server Essentials”
  • 作者:《微軟公司》
  • 描述:“此任務定期評估電腦的執行狀況。”
  • 帳戶:“系統”
  • 觸發器:“2014 年 10 月 28 日 08:54 - 觸發後,每 30 分鐘無限次重複”
  • 操作:“啟動程序:C:\Windows\System32\Essentials\RunTask.exe /asm:”C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll” /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask /method:EvaluateAlertsTaskAction /task:“警報評估”"

此時間範圍幾乎與上述行為完全匹配,因此我禁用了它以查看它是否會影響問題。

在 2015 年 10 月 8 日 08:57,我發現這些通用失敗登錄中只有 47 次被不定期記錄。

所以,我進一步縮小了範圍。

問題似乎是由計劃任務“警報評估”引起的。

此事件通常是由過時的隱藏憑證引起的。從給出錯誤的系統嘗試這個:

從命令提示符執行: psexec -i -s -d cmd.exe

從新的 cmd 視窗執行: rundll32 keymgr.dll,KRShowKeyMgr

刪除出現在儲存的使用者名和密碼列表中的所有項目。重新啟動電腦。

引用自:https://serverfault.com/questions/686393