Тонны 4625 событий. Неудачные попытки входа. Нет IP, нет имени пользователя

Question

Тонны 4625 событий. Неудачные попытки входа. Нет IP, нет имени пользователя

У меня есть сервер, который продолжает получать неудачные события входа в систему (4625). Они происходят примерно каждые 20-30 минут в день. Также, кажется, на графике.

Я пытался удалить сохраненные учетные данные. Отключение RDS. Я попытался найти шаблон с помощью Procmon и Wireshark, и однажды подумал, что это могут быть службы для Labtech (ConnectWise Automate), но временное отключение этого не имело значения.

Аккаунт не смог войти в систему.

Предмет:

Security ID:        SYSTEM

Account Name:       SERVER$

Account Domain:     DOMAIN

Logon ID:       0x3E7

Тип входа: 3

Учетная запись, для которой не удалось войти в систему:

Security ID:        NULL SID

Account Name:       

Account Domain:

Информация об отказе:

Failure Reason:     Unknown user name or bad password.

Status:         0xC000006D

Sub Status:     0xC0000064

Обрабатывать информацию:

Caller Process ID:  0x2f4

Caller Process Name:    C:\Windows\System32\lsass.exe

Информация о сети:

Workstation Name:   SERVER

Source Network Address: -

Source Port:        -

Подробная информация об аутентификации:

Logon Process:      Schannel

Authentication Package: Kerberos

Transited Services: -

Package Name (NTLM only):   -

Key Length:     0

1

windows-server-2012-r2 kerberos login windows-event-log schannel

Источник

ToatesMagoats 25 июл '18 в 20:49

1 ответ

Другие вопросы по тегам windows-server-2012-r2 kerberos login windows-event-log schannel

Michel de Crevoisier 26 июл '18 в 15:18 2018-07-26 15:18 · Answer 1 · 2018-07-26 15:18

Как вы упомянули, в этом мероприятии представлена очень полезная информация. Что мы можем увидеть это:

Код ошибки: 0xC0000064 > STATUS_NO_SUCH_USER / учетная запись не существует
Тип входа: 3 > сеть или RDP с NLA
Пакет аутентификации: Kerberos
Имя хоста источника: сам сервер

Короче говоря, "что-то" выполняется локально с неправильным именем пользователя и пытается аутентифицироваться по сети с использованием протокола Kerberos.

Поэтому единственные "подсказки", которые я могу вам предложить, это:

Поиск потенциальных событий ID 4776 (проверка учетных данных)
Посмотрите на журналы DC для странных неудачных событий Kerberos ID: 4771, 4768
В мониторе ресурсов просмотрите другую вкладку и найдите процесс, который может открыть несколько запросов локально
В сеансе PerfMon > Trace посмотрите, может ли какая-либо существующая трассировка сеанса от программного обеспечения помочь вам
А как насчет журналов приложений от ConnectWise?