감사 실패 로그 조언 부탁드립니다 RRS feed

  • 질문

  • 안녕하세요

    저희 서버에 보안 로그에 아래와 같은 감사 실패로그가 계속해서 찍히고 있는데 어떤 문제인지 잘 모르겠어서 질문 올립니다

    보시고 짐작가는 부분 있으시면 조언 부탁드립니다

    계정을 로그온하지 못했습니다.

       보안 ID:      SYSTEM
       계정 이름:      CJWEB$
       계정 도메인:      WORKGROUP
       로그온 ID:      0x3e7

    로그온 유형:         8

    로그온을 실패한 계정:
       보안 ID:      NULL SID
       계정 이름:      Administrateur
       계정 도메인:     

    오류 정보:
       오류 이유:      알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
       상태:         0xc000006d
       하위 상태:      0xc0000064

    프로세스 정보:
       호출자 프로세스 ID:   0x4f0
       호출자 프로세스 이름:   C:\Windows\System32\svchost.exe

    네트워크 정보:
       워크스테이션 이름:   CJWEB
       원본 네트워크 주소:   -
       원본 포트:      -

    인증 세부 정보:
       로그온 프로세스:      Advapi 
       전송된 서비스:   -
       패키지 이름(NTLM 전용):   -
       키 길이:      0

    2016년 5월 4일 수요일 오전 1:44

모든 응답

  • There are multiple login sources that could possibly be generating these errors:

    1. FTP logins - check your FTP log to see if login failures are showing up at the same time. This was the source in my case, which took me entirely too long to figure out, and which is why I'm posting this.
    2. Logins via Basic Authentication over http or https (simple, but possibly dangerous, way to password-protect a web site)
    3. ASP scripts
    4. There are likely others of which I'm not aware

    Numbers 2 and 3 are mentioned at

    This logon type indicates a network logon like logon type 3 but where the password was sent over the network in the clear text. Windows server doesn’t allow connection to shared file or printers with clear text authentication. The only situation I’m aware of are logons from within an ASP script using the ADVAPI or when a user logs on to IIS using IIS’s basic authentication mode. In both cases the logon process in the event’s description will list advapi. Basic authentication is only dangerous if it isn’t wrapped inside an SSL session (i.e. https). As far as logons generated by an ASP, script remember that embedding passwords in source code is a bad practice for maintenance purposes as well as the risk that someone malicious will view the source code and thereby gain the password.

    2016년 5월 4일 수요일 오전 3:50