none
감사로그 문의 RRS feed

  • 질문

  • 안녕하세요.

    문의사항이 있습니다.

    메일서버의 감사로그를 보면 아래처럼 감사 실패 이벤트가 계속 나옵니다.

    해당 이벤트로그에 있는 계정은 없는 계정인데 종종 존재하는 계정도 실패 이벤트가 뜨면서 잠기는 경우가 있습니다.

    외부에서 eXCHANGE를 통해 접근시도하는것이 맞는지요? 맞다면 이부분을 막을 방법이 없는지요?

    답변 부탁드립니다.

    감사합니다.

    -----------------------------------------------------------------------------

    계정을 로그온하지 못했습니다.

    주체:

                 보안 ID:                SYSTEM

                 계정 이름:                          계정명$

                 계정 도메인:                       도메인명

                 로그온 ID:                          0x3E7

    로그온 유형:                                    8

    로그온을 실패한 계정:

                 보안 ID:                NULL SID

                 계정 이름:                          customer123

                 계정 도메인:                      

    오류 정보:

                 오류 이유:                          알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.

                 상태:                                 0xC000006D

                 하위 상태:                          0xC0000064

    프로세스 정보:

                 호출자 프로세스 ID:             0x17c8

                 호출자 프로세스 이름:          D:\Exchange Server\Bin\MSExchangeFrontendTransport.exe

    네트워크 정보:

                 워크스테이션 이름: 서버명

                 원본 네트워크 주소:             -

                 원본 포트:                          -

    인증 세부 정보:

                 로그온 프로세스:                 Advapi 

                 인증 패키지:          MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

                 전송된 서비스:       -

                 패키지 이름(NTLM 전용):      -

                 키 길이:                0

    이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.

    주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe Services.exe와 같은 로컬 프로세스입니다.

    로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식) 3(네트워크)입니다.

    프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.

    네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.

    인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.

                 - 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.

                 - 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.

                 - 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.

    2019년 3월 20일 수요일 오전 7:36

모든 응답

  • 안녕하세요,

    보내주신 로그에서 로그온 유형이 평문 암호를 통한 네트워크인 8이고, 로그온 프로세스가 Advapi 로 보아 하기 링크와 유사한 사례라고 생각해볼 수 있을 것 같습니다. 하기 링크의 단계를 참고하여 ip 주소를 특정하여 공격자인지 여부를 우선 확인해보시는 것이 좋겠습니다.

    https://blogs.msdn.microsoft.com/puneetgupta/2007/08/20/unknown-username-or-bad-password-inetinfo-exe-advapi/

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 3월 20일 수요일 오전 8:32
    중재자