Windows Server 2012で4625イベントIDのソースを見つける方法
イベントログにイベントID 4625とログオンタイプ3の監査失敗が多数あります。
この問題は私のサーバー(内部サービスまたはアプリケーション)からのものですか?それともブルートフォース攻撃ですか?最後に、このログインのソースを見つけて問題を解決するにはどうすればよいですか?
これは一般タブの詳細情報です:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: aaman
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: test2
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
**And this is detailed information in Detail Tab:**
+ System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2015-05-09T06:57:00.043746400Z
EventRecordID 2366430
Correlation
- Execution
[ ProcessID] 696
[ ThreadID] 716
Channel Security
Computer WIN-24E2M40BR7H
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName aaman
TargetDomainName
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc0000064
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName test2
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress -
IpPort -
私がここで見つけた実用的な解決策: https://github.com/DigitalRuby/IPBan
Windows Server 2008または同等のものでは、NTLMログインを無効にし、NTLM2ログインのみを許可する必要があります。 Windows Server 2008では、NTLMログインのIPアドレスを取得する方法はありません。 secpol->ローカルポリシー->セキュリティオプション->ネットワークセキュリティを使用して、ntlm着信ntlmトラフィックを制限します->すべてのアカウントを拒否します。
RUのバージョンで:Локальнаяполитикабезопасности - >Локальныеполитики - >Параметрыбезопасности - >Сетеваябезопасность:ограниченияNTLM:входящийтрафикNTLM - >Запретитьвсеучетныезаписи
サーバーで同じタイプのイベントが発生しました。さまざまなユーザー名で何百回もログインが試行されましたが、プロセスIDまたはIPアドレスは表示されませんでした。
私はそれがネットワークレベルの認証なしのインターネット上のRDP接続から来ていたと確信しています。
これらはハック攻撃です。攻撃者の目標は、サーバーのアカウント/パスワードを総当たりすることです。
簡単な侵入検知システム(IDS)をインストールすることをお勧めします。 RDPGuard(商用)、IPBan、evlWatcherを検討することをお勧めします。私自身はCyberarms IDDSを使用しています。これはシンプルで、使いやすいインターフェイスを備えています(ただし、.NET Framework 4.0が必要です)。
考え方は簡単です。IDSは、サーバーのセキュリティログを監視して、不審なログオン失敗イベントを検出します。次に、IPアドレスをソフトロックします。ソフトロックされたIPからの試行が続く場合は、ハードロックを構成することもできます。
このイベントは通常、古くなった非表示の資格情報が原因で発生します。エラーが発生したシステムからこれを試してください:
コマンドプロンプトから:psexec -i -s -d cmd.exe
新しいcmdウィンドウから次を実行:rundll32 keymgr.dll,KRShowKeyMgr
保存されているユーザー名とパスワードのリストに表示されている項目をすべて削除します。コンピュータを再起動します。
これが発生したときに、ドメインコントローラーがシャットダウンされていましたか?これは、この記事で説明したシナリオと非常によく似ています。
https://support.Microsoft.com/en-us/kb/2683606
Windowsがシャットダウン状態になると、DCに対して認証を試みる新しいクライアントに、別のDCに接続する必要があることを通知します。ただし、DCは、ユーザーが存在しないことをクライアントに返信します。これにより、ドメインコントローラのシャットダウンが最終的に終了し、クライアントが強制的にDCを切り替えるまで、認証エラーが繰り返し発生します。
この記事で提案する解決策は、サーバーをシャットダウンする前に、ドメインコントローラーのnetlogonサービスを停止することです。これにより、シャットダウン状態に入る前に認証に使用できなくなり、クライアントに強制的に新しいDCを検出させます。