none
이벤트뷰어 감사 실패 관련 조언 부탁드립니다 RRS feed

  • 질문

  • 안녕하세요

    이벤트뷰어를 보다보니 주기적으로 winlogon 프로세스가 예기치 않게 종료된다는 오류가 올라오고

    보안 로그를보면 감사 실패라고 하면서 아래와 같이 계속해서 올라오고 있습니다

    (ABCD는 해당 서버에 컴퓨터 이름입니다)

    ----------------------------------------------------------------------------------------------------------------------------

    계정을 로그온하지 못했습니다.

    주체:
     보안 ID:  SYSTEM
     계정 이름:  ABCD$
     계정 도메인:  WORKGROUP
     로그온 ID:  0x3e7

    로그온 유형:   10

    로그온을 실패한 계정:
     보안 ID:  NULL SID
     계정 이름:  john
     계정 도메인:  ABCD

    오류 정보:
     오류 이유:  알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
     상태:   0xc000006d
     하위 상태:  0xc0000064

    프로세스 정보:
     호출자 프로세스 ID: 0x1e1c
     호출자 프로세스 이름: C:\Windows\System32\winlogon.exe

    네트워크 정보:
     워크스테이션 이름: ABCD
     원본 네트워크 주소: 176.40.125.3  
     원본 포트:  2958

    인증 세부 정보:
     로그온 프로세스:  User32
     인증 패키지: Negotiate
     전송된 서비스: -
     패키지 이름(NTLM 전용): -
     키 길이:  0

    이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.

    주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.

    로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식)와 3(네트워크)입니다.

    프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.

    네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.

    인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.
      - 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.
      - 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.
      - 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.

    --------------------------------------------------------------------------------------------------------------------------------------

    호출자 프로세스 이름: C:\Windows\System32\winlogon.exe  라는 부분 보니까 위 로그랑 연관이 있는 것 같고

    계정 이름, 원본 네트워크 주소, 원본 포트가 계속 바뀌고 있어서 공격이 의심되는데

    외부에서 원격데스크톱 시도하는건가해서 제 pc에서 일부러 암호도 틀려보고 로그를 봤는데 실패라고는 뜨지만 위 내용과는 다르게 나와서

    방화벽 정책을 어떻게 만들어야 할 지 모르겠습니다

    조언 부탁드립니다


    • 편집됨 holollollol 2015년 6월 25일 목요일 오전 10:36
    2015년 6월 25일 목요일 오전 10:36

답변