En 3 sistemas separados, el siguiente evento se registra muchas veces (entre 30 y 4.000 veces al día, dependiendo del sistema) en el servidor del controlador de dominio:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Este evento es ligeramente diferente a todos los demás que he encontrado durante la investigación, pero he determinado lo siguiente:
Event ID: 4625
. "Una cuenta no pudo iniciar sesión" .Logon Type: 3
. "Red (es decir, conexión a carpeta compartida en esta computadora desde otro lugar de la red)" .Security ID: NULL SID
. "No se identificó una cuenta válida" .Sub Status: 0xC0000064
. "El nombre de usuario no existe" .Caller Process Name: C:\Windows\System32\lsass.exe
. El Servicio de Subsistema de Autoridad de Seguridad Local (LSASS), es un proceso en los sistemas operativos Microsoft Windows que es responsable de hacer cumplir la política de seguridad en el sistema. Verifica que los usuarios inicien sesión en una computadora o servidor Windows, maneja los cambios de contraseña y crea tokens de acceso. También escribe en el registro de seguridad de Windows.Workstation Name: SERVERNAME
. La solicitud de autenticación se envía a través del controlador de dominio.
Similitudes de los sistemas afectados:
- Sistema operativo del servidor: Windows Small Business Server 2011 o Windows Server 2012 R2 Essentials
- Sistema operativo de escritorio: Windows 7 Professional (generalmente)
Diferencias de los sistemas afectados:
- Antivirus
- Filtrado de Internet integrado en Active Directory
- Inicios de sesión en caché de escritorio
- Roles (intercambio, copia de seguridad, etc.)
Algunas cosas interesantes que he notado en el sistema más gravemente afectado:
- Recientemente comenzamos a sincronizar las contraseñas de cuentas de usuario de Active Directory y Office 365 a través de la integración de Office 365 de Windows Server 2012 R2 Essentials. La integración requiere una contraseña de administrador de Office 365 y la política de seguridad para ser escalada. La sincronización requiere que cada cuenta de usuario se asigne a la cuenta en línea de Microsoft correspondiente, lo que requiere que se cambie la contraseña de la cuenta en el próximo inicio de sesión. También agregamos su dominio de correo electrónico principal como un sufijo UPN en dominios y fideicomisos de Active Directory y cambiamos el UPN de todas las cuentas de usuario a su dominio de correo electrónico. Efectivamente, esto les permitió iniciar sesión en el dominio y Office 365 utilizando su dirección de correo electrónico y contraseña. Sin embargo, desde que lo hizo, la cantidad de eventos registrados por día aumentó de ~ 900 a ~ 3,900. Nota:
- La mayor parte de los eventos parecen registrarse a intervalos regulares, generalmente cada 30 o 60 minutos, excepto ~ 09:00 que es cuando los usuarios llegan al trabajo: 2015/07/02 18:55
2015/07/02 19:25
2015 /
07/02 19:54 2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07 / 03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03
02:55 2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08: 49
2015/07/03 08:52
2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03
09:03 2015/07/03 09:06
2015 /
07/03 09:08 2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03
09:17 2015/07/03 09:13 2015/07
/ 03 09:25
2015/07/03 10:24
2015/07/03 11:25 El siguiente evento se registra en el servidor de servicios de escritorio remoto / terminal, aunque ni de lejos tantas veces:
An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Entonces, en resumen, definitivamente parece estar relacionado con el acceso a la red desde computadoras de escritorio utilizando cuentas de usuario del personal, pero no puedo ver cómo.
Actualización 25/08/2015 08:48:
En el sistema más gravemente afectado, hice lo siguiente para aislar el problema y, después de cada uno, revirtió el cambio:
- Cierre el servidor de terminal / servicios de escritorio remoto y los inicios de sesión fallidos genéricos qué siguen.
- Desconectado el servidor de controlador de dominio de la red y los inicios de sesión fallidos genéricos hizo continuar.
- Reinició el servidor en Modo a prueba de errores sin conexión en red y los inicios de sesión genéricos fallidos no continuaron.
- Detuvieron y se desactivarán todos los servicios "innecesarios" (Agente de supervisión, copia de seguridad, red de integración de filtrado, TeamViewer, antivirus, etc.) y los inicios de sesión fallidos genéricos qué siguen.
- Detuvieron y servicios deshabilitados en Windows Server Essentials (
WseComputerBackupSvc
,WseEmailSvc
,WseHealthSvc
,WseMediaSvc
,WseMgmtSvc
, yWseNtfSvc
) y los inicios de sesión fallidos genéricos no continúan. - Finalmente, detuve e inhabilité el Servicio de administración de Windows Server Essentials (
WseMgmtSvc
) y los inicios de sesión genéricos fallidos no continuaron.
He verificado dos veces que el Servicio de administración de Windows Server Essentials ( WseMgmtSvc
) es responsable de estos inicios de sesión fallidos genéricos al deshabilitarlo durante unos días y no hubo inicios de sesión genéricos fallidos y habilitarlo durante unos días y hubo miles de inicios de sesión genéricos fallidos .
Actualización 2015/10/08 09:06:
El 07/10/2015 a las 16:42 encontré la siguiente tarea programada:
- Nombre: "Evaluaciones de alerta"
- Ubicación: "\ Microsoft \ Windows \ Windows Server Essentials"
- Autor: "Microsoft Corporation"
- Descripción: "Esta tarea evalúa periódicamente el estado de la computadora".
- Cuenta: "SISTEMA"
- Activadores: "A las 08:54 del 28/10/2014 - Después de activarse, repita cada 30 minutos indefinidamente"
- Acciones: "Inicie un programa: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "
Este período de tiempo coincide casi exactamente con el comportamiento anterior, así que lo deshabilité para ver si afecta el problema.
El 08/10/2015 a las 08:57 encontré que solo 47 de estos inicios de sesión fallidos genéricos se registraron desde intervalos irregulares.
Entonces, lo he reducido aún más.