none
Microsoft-Windows-Security-Auditing: Logon/4625 RRS feed

  • Discussão Geral

  • Estou recebendo no log diversas tentativas de acesso por ips que estão fora da minha rede utilizando o protocolo NTLM a cada momento com um usuário diferente, isso é algum tipo de Virus?

    Segue abaixo um exemplo de Log

    Computer:  SERVER-EMPRESA.empresa.local

    Date/Time: 2013-02-18 15:38:20

     

    Event Log: security

    Type:      Audit Failure

    Source:    Microsoft-Windows-Security-Auditing

    Category:  Logon

    Event:     4625

     

    Message:

     

    Falha no logon de uma conta.

     

    Requerente:

                    Identificação de segurança:                       S-1-5-18

                    Nome da conta:                              SERVER-EMPRESA$

                    Domínio da conta:                          EMPRESA

                    Identificação de logon:                 0x3e7

     

    Tipo de logon:                                  10

     

    Conta cujo logon falhou:

                    Identificação de segurança:                       S-1-0-0

                    Nome da conta:                              Micros1

                    Domínio da conta:                          SERVER-EMPRESA

     

    Informações da falha:

                    Razão da falha:                 Nome de usuário desconhecido ou senha incorreta.

                    Status:                                 0xc000006d

                    Substatus:                          0xc0000064

     

    Informações do processo:

                    ID de processo do chamador:    0x1238

                    Nome de processo do chamador:           C:\Windows\System32\winlogon.exe

     

    Informações da rede:

                    Nome da estação de trabalho:  SERVER-EMPRESA

                    Endereço da rede de origem:    49.236.204.205

                    Porta de origem:                             55579

     

    Informações detalhadas da autenticação:

                    Processo de logon:                        User32

                    Pacote de autenticação:              Negotiate

                    Serviços transitados:     -

                    Nome do pacote (somente NTLM):       -

                    Comprimento da chave:                              0

     

    :Este evento é gerado quando uma solicitação de logon falha. Ele é gerado no computador em houve a tentativa de acesso.

     

    Os campos do assunto indicam a Conta Sistema Local que solicitou o logon. Comumente, isto é um serviço como o de servidor ou um processo local como Winlogon.exe ou Services.exe.

     

    O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais comuns são 2 (interativo) e 3 (em rede).

     

    Os campos de informações do processo indicam qual conta ou processo do sistema solicitaram o logon.

     

    Os campos informações de rede indicam onde a solicitação de logon remoto se originou. O nome da estação de trabalho nem sempre está disponível e pode ser deixado em branco em alguns casos.

     

    Os campos de informações de autenticação fornecem informações detalhadas sobre esta solicitação específica de logon.

                    - Serviços transitados indicam qual serviço intermediário participou desta solicitação de logon.

                    - Nome de pacote indica qual subprotocolo foi usado, entre os protocolos NTLM.

                    - Comprimento da chave indica o comprimento da chave da sessão gerada. Ele será 0 se nenhuma chave de sessão foi so


    Whonix

    terça-feira, 19 de fevereiro de 2013 13:28

Todas as Respostas

  • Olá Fabiano

    para melhor entendimento, qual a versão do SO e qual a aplicação deste server?

    Obrigado.


    Fernando H. da Silva - Microsoft Contingent Staff

    sexta-feira, 5 de abril de 2013 14:20