Событие 4625 Audit Failure NULL SID не удалось войти в сеть

10

В 3 отдельных системах следующее событие регистрируется много раз (от 30 до 4000 раз в день в зависимости от системы) на сервере контроллера домена:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Это событие немного отличается от всех других, которые я обнаружил во время исследования, но я определил следующее:

  1. Event ID: 4625, Msgstr "Аккаунт не смог войти в систему" .
  2. Logon Type: 3, Msgstr "Сеть (то есть подключение к общей папке на этом компьютере из другого места в сети)" .
  3. Security ID: NULL SID, Msgstr "Действительный аккаунт не был идентифицирован" .
  4. Sub Status: 0xC0000064, Msgstr "Имя пользователя не существует" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe, Служба подсистемы локального управления безопасностью (LSASS) - это процесс в операционных системах Microsoft Windows, который отвечает за применение политики безопасности в системе. Он проверяет пользователей, входящих в систему на компьютере или сервере Windows, обрабатывает изменения пароля и создает токены доступа. Он также записывает в журнал безопасности Windows.
  6. Workstation Name: SERVERNAME, Запрос аутентификации отправляется самим контроллером домена или через него.

Сходства затронутых систем:

  1. Серверная операционная система: Windows Small Business Server 2011 или Windows Server 2012 R2 Essentials
  2. Операционная система для настольных компьютеров: Windows 7 Professional (обычно)

Различия затронутых систем:

  1. антивирус
  2. Интегрированная в Active Directory интернет-фильтрация
  3. Настольные кэшированные входы
  4. Роли (Exchange, резервное копирование и т. Д.)

Некоторые интересные вещи, которые я заметил в наиболее сильно пострадавшей системе:

  1. Недавно мы начали синхронизировать пароли учетных записей пользователей Active Directory и Office 365 с помощью интеграции Office 365 в Windows Server 2012 R2 Essentials. Интеграция требует повышения пароля администратора Office 365 и политики безопасности. Синхронизация требует, чтобы каждая учетная запись пользователя была назначена соответствующей сетевой учетной записи Microsoft, что требует изменения пароля учетной записи при следующем входе в систему. Мы также добавили основной домен электронной почты в качестве суффикса UPN в домены и трасты Active Directory и изменили UPN всех учетных записей пользователей на свой домен электронной почты. По сути, это позволило им войти в домен и Office 365, используя свой адрес электронной почты и пароль. Однако с тех пор количество событий, зарегистрированных в день, увеличилось с ~ 900 до ~ 3900. Замечания:
  2. Кажется, что большая часть событий регистрируется с регулярными интервалами, обычно каждые 30 или 60 минут, за исключением ~ 09: 00, когда пользователи приходят на работу: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. Следующее событие регистрируется на сервере служб терминалов / удаленных рабочих столов, хотя не так много раз:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Итак, в целом, это определенно связано с доступом к сети с настольных компьютеров с использованием учетных записей пользователей, но я не понимаю, как это сделать.

Обновление 2015/08/25 08:48:

В наиболее уязвимой системе я сделал следующее, чтобы изолировать проблему, и после каждой отмены изменения:

  1. Выключение терминала / удаленный сервер настольных служб и общие Failed вход в систему было продолжать.
  2. Отключен сервер контроллера домена из сети и общих неудачных входов в систему было продолжать.
  3. Перезагрузил сервер в безопасном режиме без подключения к сети, и общий неудачный вход в систему не продолжился.
  4. Остановился и отключить все «лишние» услуги (агент мониторинга, резервного копирования, сетевой фильтрации интеграции, TeamViewer, антивирус и т.д.) и общие неудачные входы в систему было продолжать.
  5. Остановился и отключенные службы Windows Server Основы ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, и WseNtfSvc) и общие неудачные входы в систему не продолжать.
  6. В конце концов остановил и отключил службу управления Windows Server Essentials ( WseMgmtSvc), и общий неудачный вход в систему не продолжился.

Я дважды проверил, что служба управления Windows Server Essentials ( WseMgmtSvc) отвечает за эти общие неудачные входы в систему, отключив его на несколько дней, и не было общих неудачных входов и включив его в течение нескольких дней, а также были тысячи общих неудачных входов. ,

Обновление 2015/10/08 09:06:

2015/10/07 в 16:42 я нашел следующее запланированное задание:

  • Название: «Предупреждения оценки»
  • Расположение: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Автор: "Microsoft Corporation"
  • Описание: «Эта задача периодически оценивает работоспособность компьютера».
  • Аккаунт: "СИСТЕМА"
  • Триггеры: «В 08:54 28.10.2014 - после срабатывания повторяйте каждые 30 минут до бесконечности»
  • Действия: «Запустите программу: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / метод: EvaluateAlertsTaskAction / task: "Оценка предупреждений" "

Этот таймфрейм почти точно соответствует приведенному выше поведению, поэтому я отключил его, чтобы увидеть, влияет ли это на проблему.

2015/10/08 в 08:57 я обнаружил, что только 47 из этих общих неудачных входов были зарегистрированы с нерегулярными интервалами.

Итак, я сузил это еще дальше.

mythofechelon
источник
Какой метод вы использовали для настройки своих машин win7?
странный ходок
@ strange walker Вероятно, что в каждой из 3 затронутых сред партия исходных ПК была настроена следующим образом: был настроен один ПК (драйверы, программное обеспечение и т. д.), был создан образ ПК, остальные ПК были образ с использованием настроенного образа, а затем каждый ПК был переименован и добавлен в домен с помощью мастера Connector.
Мифофешелон
Если честно, я бы просто проигнорировал эти события. Windows создает множество событий безопасности, и это конкретное событие определенно не вредно.
Счастливчик Люк
@ Lucky Luke К сожалению, наша система мониторинга не может различить неудачные события входа в систему, поэтому мы не можем реально увеличить порог проверки в случае, если мы пропустим реальную проблему.
Мифофешелон
1
@ Lucky Luke Мы обдумываем это, но это не так давно, и, к сожалению, это не устраняет основную причину, поэтому мне все еще нужен ответ на этот вопрос.
мифофешелон

Ответы:

5

Это событие обычно вызывается устаревшими скрытыми учетными данными. Попробуйте это из системы, выдавшей ошибку:

Из командной строки запустите: psexec -i -s -d cmd.exe
Из нового окна cmd запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые появляются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.

zea62
источник
Там нет записей. Кроме того, это не то же самое, что Диспетчер учетных данных?
Мифофешелон
@mythofechelon - Да, технически это «Диспетчер учетных данных», но Диспетчер учетных данных хранит учетные данные для каждого пользователя. Использование psexec для открытия окна cmd системы и последующего запуска Credential Manager запускает Credential Manager как пользователь SYSTEM, который является учетной записью локального компьютера.
Томас
1

Похоже, что проблема была вызвана запланированной задачей «Оценка предупреждений».

mythofechelon
источник
Что вы имеете в виду, что это было вызвано этим? Что делает эта задача? Что не так с этим, что ошибки происходили?
Эшли
Ну, если бы вы прочитали мою диагностику, вы бы увидели, что временные рамки совпадают, и отключение ее решило проблему.
Мифофешелон
3
Нет, это не решило проблему - это скрыло проблему.
Ник