Ereignis 4625 Überwachungsfehler NULL SID fehlgeschlagene Netzwerkanmeldungen


10

In 3 separaten Systemen wird das folgende Ereignis mehrmals (je nach System zwischen 30 und 4.000 Mal pro Tag) auf dem Domänencontrollerserver protokolliert:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Dieses Ereignis unterscheidet sich geringfügig von allen anderen, die ich während der Recherche gefunden habe, aber ich habe Folgendes festgestellt:

  1. Event ID: 4625. "Ein Konto konnte sich nicht anmelden" .
  2. Logon Type: 3. "Netzwerk (dh Verbindung zu einem freigegebenen Ordner auf diesem Computer von einer anderen Stelle im Netzwerk)" .
  3. Security ID: NULL SID. "Ein gültiges Konto wurde nicht identifiziert" .
  4. Sub Status: 0xC0000064. "Benutzername existiert nicht" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Der Local Security Authority Subsystem Service (LSASS) ist ein Prozess in Microsoft Windows-Betriebssystemen, der für die Durchsetzung der Sicherheitsrichtlinie auf dem System verantwortlich ist. Es überprüft Benutzer, die sich an einem Windows-Computer oder -Server anmelden, verarbeitet Kennwortänderungen und erstellt Zugriffstoken. Es wird auch in das Windows-Sicherheitsprotokoll geschrieben.
  6. Workstation Name: SERVERNAME. Die Authentifizierungsanforderung wird vom oder über den Domänencontroller selbst gesendet.

Ähnlichkeiten der betroffenen Systeme:

  1. Server-Betriebssystem: Windows Small Business Server 2011 oder Windows Server 2012 R2 Essentials
  2. Desktop-Betriebssystem: Windows 7 Professional (allgemein)

Unterschiede der betroffenen Systeme:

  1. Antivirus
  2. Active Directory-integrierte Internetfilterung
  3. Zwischengespeicherte Desktop-Anmeldungen
  4. Rollen (Exchange, Backup usw.)

Einige interessante Dinge, die mir im am stärksten betroffenen System aufgefallen sind:

  1. Wir haben kürzlich damit begonnen, Active Directory- und Office 365-Benutzerkontokennwörter über die Office 365-Integration von Windows Server 2012 R2 Essentials zu synchronisieren. Für die Integration müssen das Kennwort eines Office 365-Administrators und die Sicherheitsrichtlinie eskaliert werden. Für die Synchronisierung muss jedes Benutzerkonto dem entsprechenden Microsoft-Onlinekonto zugewiesen werden, sodass das Kennwort des Kontos bei der nächsten Anmeldung geändert werden muss. Wir haben auch ihre primäre E-Mail-Domäne als UPN-Suffix in Active Directory-Domänen und -Vertrauensstellungen hinzugefügt und den UPN aller Benutzerkonten in ihre E-Mail-Domäne geändert. Auf diese Weise konnten sie sich mit ihrer E-Mail-Adresse und ihrem Kennwort bei der Domäne und bei Office 365 anmelden. Seitdem ist die Anzahl der pro Tag protokollierten Ereignisse von ~ 900 auf ~ 3.900 gestiegen. Hinweis:
  2. Der Großteil der Ereignisse scheint in regelmäßigen Abständen, normalerweise alle 30 oder 60 Minuten, protokolliert zu werden, mit Ausnahme von ~ 09:00 Uhr, wenn die Benutzer zur Arbeit kommen: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03
    01:24 2015/07/03
    01:55 2015/07/03
    02:24 2015/07/03
    02:55 2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03
    06:25 2015/07/03
    07:25 2015/07/03
    08:24 2015/07/03
    08:27 2015/07/03 08: 49
    03.07.2015 08:52
    03.07.2015 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. Das folgende Ereignis wird auf dem Terminal- / Remotedesktopdienstserver protokolliert, jedoch bei weitem nicht so oft:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Zusammenfassend scheint es also definitiv mit dem Netzwerkzugriff von Desktop-Computern über Benutzerkonten der Mitarbeiter zu tun zu haben, aber ich kann nicht sehen, wie.

Update 25.08.2015 08:48:

In dem am stärksten betroffenen System habe ich Folgendes getan, um das Problem zu isolieren und nach jeder Änderung die Änderung rückgängig zu machen:

  1. Fahren Sie den Terminal- / Remotedesktopdiensteserver herunter, und die generischen fehlgeschlagenen Anmeldungen wurden fortgesetzt.
  2. Der Domänencontrollerserver wurde vom Netzwerk getrennt, und die generischen fehlgeschlagenen Anmeldungen wurden fortgesetzt.
  3. Der Server wurde im abgesicherten Modus ohne Netzwerk neu gestartet, und die generischen fehlgeschlagenen Anmeldungen wurden nicht fortgesetzt.
  4. Alle "unnötigen" Dienste (Überwachungsagent, Sicherung, Netzwerkfilterintegration, TeamViewer, Antivirus usw.) wurden gestoppt und deaktiviert, und die generischen fehlgeschlagenen Anmeldungen wurden fortgesetzt.
  5. Gestoppt und deaktiviert Windows Small Business Server - Dienste ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, und WseNtfSvc) und die allgemeinen fehlgeschlagenen Anmeldungen nicht fortgesetzt werden .
  6. Schließlich wurde der Windows Server Essentials-Verwaltungsdienst ( WseMgmtSvc) gestoppt und deaktiviert, und die generischen fehlgeschlagenen Anmeldungen wurden nicht fortgesetzt.

Ich habe überprüft, ob der Windows Server Essentials-Verwaltungsdienst ( WseMgmtSvc) für diese generischen fehlgeschlagenen Anmeldungen verantwortlich ist, indem ich ihn einige Tage lang deaktiviert habe. Es gab keine generischen fehlgeschlagenen Anmeldungen und habe ihn einige Tage lang aktiviert, und es gab Tausende generischer fehlgeschlagener Anmeldungen .

Update 08.10.2015 09:06:

Am 07.10.2015 um 16:42 Uhr habe ich folgende geplante Aufgabe gefunden:

  • Name: "Alert Evaluations"
  • Speicherort: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Autor: "Microsoft Corporation"
  • Beschreibung: "Diese Aufgabe bewertet regelmäßig den Zustand des Computers."
  • Konto: "SYSTEM"
  • Auslöser: "Am 28.10.2014 um 08:54 Uhr - Nach dem Auslösen alle 30 Minuten auf unbestimmte Zeit wiederholen."
  • Aktionen: "Starten Sie ein Programm: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "

Dieser Zeitrahmen entspricht fast genau dem obigen Verhalten, daher habe ich ihn deaktiviert, um festzustellen, ob er das Problem betrifft.

Am 08.10.2015 um 08:57 Uhr stellte ich fest, dass nur 47 dieser generischen fehlgeschlagenen Anmeldungen seitdem in unregelmäßigen Abständen protokolliert wurden.

Also habe ich es noch weiter eingegrenzt.


Mit welcher Methode haben Sie Ihre Win7-Maschinen eingerichtet?
seltsamer Wanderer

@strange walker Es ist wahrscheinlich, dass in jeder der 3 betroffenen Umgebungen der Stapel der ersten PCs wie folgt eingerichtet wurde: Ein einzelner PC wurde konfiguriert (Treiber, Software usw.), ein Image des PCs wurde erstellt, die restlichen PCs waren Mit dem konfigurierten Image abgebildet, und dann wurde jeder PC umbenannt und über den Connector-Assistenten zur Domäne hinzugefügt.
Mythosofechelon

Um ehrlich zu sein, würde ich diese Ereignisse einfach ignorieren. Windows erstellt eine Vielzahl von Sicherheitsereignissen, und dieses spezielle Ereignis ist definitiv nicht schädlich.
Lucky Luke

@Lucky Luke Leider kann unser Überwachungssystem nicht zwischen fehlgeschlagenen Anmeldeereignissen unterscheiden, sodass wir den Schwellenwert der Prüfung nicht wirklich erhöhen können, falls wir ein tatsächliches Problem übersehen.
Mythosofechelon

1
@Lucky Luke Wir überlegen es uns, aber das ist noch eine Weile her und es löst leider nicht die Grundursache, also brauche ich noch eine Antwort darauf.
Mythofechelon

Antworten:


5

Dieses Ereignis wird normalerweise durch einen veralteten, versteckten Berechtigungsnachweis verursacht. Versuchen Sie dies vom System aus, das den Fehler ausgibt:

An einer Eingabeaufforderung ausführen: psexec -i -s -d cmd.exe
Aus dem neuen Cmd-Fenster ausführen: rundll32 keymgr.dll,KRShowKeyMgr

Entfernen Sie alle Elemente, die in der Liste der gespeicherten Benutzernamen und Kennwörter angezeigt werden. Starte den Computer neu.


Es gibt keine Einträge. Ist das nicht dasselbe wie Credential Manager?
Mythosofechelon

@mythofechelon - Ja, technisch gesehen ist dies der "Credential Manager", aber der Credential Manager speichert Anmeldeinformationen auf Benutzerbasis. Wenn Sie mit psexec ein SYSTEM-Cmd-Fenster öffnen und anschließend Credential Manager ausführen, wird Credential Manager als SYSTEM-Benutzer ausgeführt, bei dem es sich um das lokale Computerkonto handelt.
Thomas

1

Es scheint, dass das Problem durch die geplante Aufgabe "Alert Evaluations" verursacht wurde.


Was meinst du damit, dass es dadurch verursacht wurde? Was macht diese Aufgabe? Was war daran falsch, dass die Fehler auftraten?
Ashley

Wenn Sie meine Diagnose lesen, werden Sie feststellen, dass der Zeitrahmen übereinstimmt und das Deaktivieren das Problem behebt.
Mythofechelon

3
Nein, es hat das Problem nicht gelöst - es hat das Problem versteckt.
NickG
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.