Hi all. I have a Windows server 2008 R2 Entreprise with no Domain assigned and all of its users configured locally.
From time to time we are having a bundle of Events like the one below.
This Blocks of EventID 4625reflect that one user (i.e. USERNAME1) tries to access EVERY single user account (USERNAME2, 3, 4,5... and so on, administrator account included) so I have a Event ID 4625 for every user that USERNAME1 tries to access, all with
the bad password result, access logon type 2, etc...
The server is completly up to date, antivirus updated, etc, Any suggestions?
Nombre de registro:Security
Origen: Microsoft-Windows-Security-Auditing
Fecha: 11/04/2013 23:24:48
Id. del evento:4625
Categoría de la tarea:Inicio de sesión
Nivel: Información
Palabras clave:Error de auditoría
Usuario: No disponible
Equipo: SERVERNAME1
Descripción:
Error de una cuenta al iniciar sesión.
Sujeto:
Id. de seguridad:
S-1-5-21-4206797946-292122858-2772029242-1077
Nombre de cuenta:
USERNAME1
Dominio de cuenta:
SERVERNAME1
Id. de inicio de sesión:
0x5fb5e838
Tipo de inicio de sesión: 2
Cuenta con error de inicio de sesión:
Id. de seguridad:
S-1-0-0
Nombre de cuenta:
USERNAME2
Dominio de cuenta:
Información de error:
Motivo del error:
Nombre de usuario desconocido o contraseña incorrecta
Estado:
0xc000006d
Subestado:
0xc000006a
Información de proceso:
Id. de proceso del autor de la llamada:
0x1e08
Nombre de proceso del autor de la llamada:
C:\Windows\System32\dllhost.exe
Información de red:
Nombre de estación de trabajo:
SERVERNAME1
Dirección de red de origen:
-
Puerto de origen:
-
Información de autenticación detallada:
Proceso de inicio de sesión:
Advapi
Paquete de autenticación:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Servicios transitados:
-
Nombre de paquete (sólo NTLM):
-
Longitud de clave:
0
(...)
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2013-04-11T23:24:48.897855100Z" />
<EventRecordID>141573</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="11580" />
<Channel>Security</Channel>
<Computer>SERVERNAME1</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-21-4206797946-292122858-2772029242-1077</Data>
<Data Name="SubjectUserName">USERNAME1</Data>
<Data Name="SubjectDomainName">SERVERNAME1</Data>
<Data Name="SubjectLogonId">0x5fb5e838</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">USERNAME2</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">2</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="WorkstationName">SERVERNAME1</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x1e08</Data>
<Data Name="ProcessName">C:\Windows\System32\dllhost.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
