none
Учетной записи не удалось выполнить вход в систему. RRS feed

  • Общие обсуждения

  • Установлены сервера на Windows 2008r2. Постоянно выскакивает данная ошибка.  Как решить данную проблему, если это кто то ломится как узнать ip и блокировать его?

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          31.10.2017 9:37:34
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     Terminal.Corp.ru
    Описание:
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
        ИД безопасности:        NULL SID
        Имя учетной записи:        -
        Домен учетной записи:        -
        Код входа:        0x0

    Тип входа:            3

    Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:        NULL SID
        Имя учетной записи:        Terminal
        Домен учетной записи:        CORP

    Сведения об ошибке:
        Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
        Состояние:            0xC000006D
        Подсостояние:        0xC0000064

    Сведения о процессе:
        Идентификатор процесса вызывающей стороны:    0x0
        Имя процесса вызывающей стороны:    -

    Сведения о сети:
        Имя рабочей станции:    Terminal
        Сетевой адрес источника:    fe40::553e:346a:6f38:bfe8
        Порт источника:        61245

    Сведения о проверке подлинности:
        Процесс входа:        NtLmSsp
        Пакет проверки подлинности:    NTLM
        Промежуточные службы:    -
        Имя пакета (только NTLM):    -
        Длина ключа:        0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
        - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
        - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
        - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2017-10-31T06:37:34.227016200Z" />
        <EventRecordID>2904307</EventRecordID>
        <Correlation />
        <Execution ProcessID="724" ThreadID="6336" />
        <Channel>Security</Channel>
        <Computer>Terminal.Corp.ru</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">Terminal</Data>
        <Data Name="TargetDomainName">CORP</Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc0000064</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">Terminal</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">fe40::553e:346a:6f38:bfe8</Data>
        <Data Name="IpPort">61245</Data>
      </EventData>
    </Event>

    31 октября 2017 г. 10:16

Все ответы

  • Установлены сервера на Windows 2008r2. Постоянно выскакивает данная ошибка.  Как решить данную проблему, если это кто то ломится как узнать ip и блокировать его?

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          31.10.2017 9:37:34
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     Terminal.Corp.ru
    Описание:
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
        ИД безопасности:        NULL SID
        Имя учетной записи:        -
        Домен учетной записи:        -
        Код входа:        0x0

    Тип входа:            3

    Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:        NULL SID
        Имя учетной записи:        Terminal
        Домен учетной записи:        CORP

    Сведения об ошибке:
        Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
        Состояние:            0xC000006D
        Подсостояние:        0xC0000064

    Сведения о процессе:
        Идентификатор процесса вызывающей стороны:    0x0
        Имя процесса вызывающей стороны:    -

    Сведения о сети:
        Имя рабочей станции:    Terminal
        Сетевой адрес источника:    fe40::553e:346a:6f38:bfe8
        Порт источника:        61245

    Сведения о проверке подлинности:
        Процесс входа:        NtLmSsp
        Пакет проверки подлинности:    NTLM
        Промежуточные службы:    -
        Имя пакета (только NTLM):    -
        Длина ключа:        0

    ...

        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">fe40::553e:346a:6f38:bfe8</Data>
        <Data Name="IpPort">61245</Data>
      </EventData>
    </Event>



    The opinion expressed by me is not an official position of Microsoft

    • Изменено Vector BCOModerator 31 октября 2017 г. 13:10 Сократил цитату
    31 октября 2017 г. 10:21
    Модератор
  • И в чем проблема? Включен IPv6 ?
    31 октября 2017 г. 11:41
  • это ваш адрес?

    The opinion expressed by me is not an official position of Microsoft

    31 октября 2017 г. 11:53
    Модератор
  • Да мой адрес. Только тут он изменен.
    31 октября 2017 г. 13:06
  • Если у вас сервер смотрит в мир лучше на Firewall закрыть доступ всем кроме известных, так как замучаетесь закрывать по одному адресу

    The opinion expressed by me is not an official position of Microsoft

    31 октября 2017 г. 13:12
    Модератор
  • я не могу закрыть и настроить для отдельных ip адресов доступ. Люди заходят на сервер с разных  ip(из дома динамические ip). Есть ли решение данной проблемы без закрытия? или сторонний софт для отслеживания кто ломится.
    31 октября 2017 г. 13:16
  • День добрый!

    Как один из вариантов перенесите RDP на другой порт... Толку от этого конечно мало.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    • Изменено Igor Chulkov 31 октября 2017 г. 13:52
    31 октября 2017 г. 13:52
  • Если вы уж решили выставлять сервер напрямую через RDP в интернет и никак не можете ограничить IP адреса, которые на него могут попадать, то постарайтесь настроить политику блокировки учетных записей максимально строго и использовать максимально сложные пароли. Например, блокировать УЗ после трех кратного неправильного ввода пароля на 12 часов. Забрутфорсить Вас таким способом будет довольно сложно. 

    Можете, конечно, написать скрипт, который будет парсить логи на момент таких обращений и заносить такие хосты в черный список Вашего фаервола.

    Но это неправильные решения, так сказать, костыли. 

    31 октября 2017 г. 20:54
  • я не могу закрыть и настроить для отдельных ip адресов доступ. Люди заходят на сервер с разных  ip(из дома динамические ip). Есть ли решение данной проблемы без закрытия? или сторонний софт для отслеживания кто ломится.

    В этом случае ничего сделать нельзя без кардинального изменения способа подключения. Отслеживать кто именно ломится бесполезно, это типично большие ботнеты, например из дружественного Китая. Проблема обсуждалась несколько раз, ищите темы про залоченые учетки.

    Если хотите решить данную проблему то способ только один - убрать сверверы из интернета. Подключение же делать через защищенную точку входа, например VPN с сертификатами на смарт картах.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    31 октября 2017 г. 21:22
    Модератор
  • Можете, конечно, написать скрипт, который будет парсить логи на момент таких обращений и заносить такие хосты в черный список Вашего фаервола.

    Добрый день, Алексей!

    Автор темы именно и ищет те хосты которые к нему ломятся, что бы заносить их в "черных список"


    The opinion expressed by me is not an official position of Microsoft

    1 ноября 2017 г. 7:17
    Модератор