Назад | Перейти на главную страницу

ТОННЫ из 4625 событий. Неудачные попытки входа в систему. Ни IP, ни имени пользователя

У меня есть сервер, который продолжает получать неудачные события входа в систему (4625). Они происходят примерно каждые 20-30 минут ежедневно. Также, похоже, есть в расписании.

Я пробовал удалить сохраненные учетные данные. Отключение RDS. Я попытался найти шаблон с помощью Procmon и Wireshark, и в какой-то момент подумал, что это могут быть службы для Labtech (ConnectWise Automate), но временное отключение этого не имело значения.

Не удалось войти в учетную запись.

Тема:

Security ID:        SYSTEM

Account Name:       SERVER$

Account Domain:     DOMAIN

Logon ID:       0x3E7

Тип входа: 3

Учетная запись, для которой не удалось войти в систему:

Security ID:        NULL SID

Account Name:       

Account Domain:     

Информация об отказе:

Failure Reason:     Unknown user name or bad password.

Status:         0xC000006D

Sub Status:     0xC0000064

Обрабатывать информацию:

Caller Process ID:  0x2f4

Caller Process Name:    C:\Windows\System32\lsass.exe

Сетевая информация:

Workstation Name:   SERVER

Source Network Address: -

Source Port:        -

Подробная информация для аутентификации:

Logon Process:      Schannel

Authentication Package: Kerberos

Transited Services: -

Package Name (NTLM only):   -

Key Length:     0

Как вы упомянули, на этом мероприятии предоставляется очень мало полезной информации. Что мы видим:

  • Код ошибки: 0xC0000064> STATUS_NO_SUCH_USER / аккаунт не существует
  • Тип входа: 3> сеть или RDP с NLA
  • Пакет аутентификации: Kerberos
  • Исходное имя хоста: сам сервер

Вкратце, «что-то» запускается локально с неправильным именем пользователя и пытается пройти аутентификацию по сети с использованием протокола Kerberos.

Поэтому единственные «подсказки», которые я могу вам предложить:

  • Ищите возможные события ID 4776 (проверка учетных данных)
  • Найдите в журналах контроллера домена странные идентификаторы неудачных событий Kerberos: 4771, 4768
  • В мониторе ресурсов просмотрите другую вкладку и найдите процесс, который может открывать несколько запросов локально.
  • В сеансе PerfMon> Trace посмотрите, может ли вам помочь трассировка существующего сеанса из программного обеспечения
  • А как насчет журналов приложений от ConnectWise?