碼上歡樂
相關內容    簡體    繁體

服務器出現大批量登錄審核失敗/NtLmSsp攻擊

本文轉載自   查看原文   2020-07-28 17:28   6760    系統/ 維護

問題:服務器出現大批量登錄審核失敗

 

 詳細信息:---重點紅色標注

日志名稱: Security
來源: Microsoft-Windows-Security-Auditing
日期: 2020/7/28 16:47:37
事件 ID: 4625
任務類別: 登錄
級別: 信息
關鍵字: 審核失敗
用戶: 暫缺
計算機: VM82
描述:
帳戶登錄失敗。

使用者:
安全 ID: NULL SID
帳戶名: -
帳戶域: -
登錄 ID: 0x0

登錄類型: 3

登錄失敗的帳戶:
安全 ID: NULL SID
帳戶名: ADMINISTRATOR
帳戶域:

失敗信息:
失敗原因: 未知用戶名或密碼錯誤。
狀態: 0xC000006D
子狀態: 0xC000006A

進程信息:
調用方進程 ID: 0x0
調用方進程名: -

網絡信息:
工作站名:
源網絡地址: -
源端口: -

詳細身份驗證信息:
登錄進程: NtLmSsp
身份驗證數據包: NTLM
傳遞服務: -
數據包名(僅限 NTLM): -
密鑰長度: 0

登錄請求失敗時在嘗試訪問的計算機上生成此事件。

“使用者”字段指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地進程(例如 Winlogon.exe 或 Services.exe)。

“登錄類型”字段指明發生的登錄的種類。最常見的類型是 2 (交互式)和 3 (網絡)。

“進程信息”字段表明系統上的哪個帳戶和進程請求了登錄。

“網絡信息”字段指明遠程登錄請求來自哪里。“工作站名”並非總是可用,而且在某些情況下可能會留為空白。

“身份驗證信息”字段提供關於此特定登錄請求的詳細信息。
-“傳遞服務”指明哪些直接服務參與了此登錄請求。
-“數據包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰,則此字段為 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2020-07-28T08:47:37.537784300Z" />
<EventRecordID>7942649</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="5152" />
<Channel>Security</Channel>
<Computer>VM82</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">ADMINISTRATOR</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>

解決方案:進行NTLM策略控制,徹底阻止LM響應

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 服務器日志出現大批量 審核失敗 日志 NtLmSsp攻擊 大批量數據讀寫 mysql導入大批量數據出現MySQL server has gone away的解決方法 SQLite大批量插入性能優化 oracle大批量數據更新 postgresql大批量數據導入方法 給測試環境造大批量數據 Mysql大批量數據導入ElasticSearch Linux rm刪除大批量文件 Redis——大批量刪除redis的key
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM