locked
每10分鐘出現Event Log security 4625 稽核失敗 RRS feed

  • 問題

  • 請問各位先進,小弟公司目前使用server2008 sp1,security Log每天總是會出現同事一台未加入網域的筆電每10分鐘就會出現稽核失敗一直到下班關機,且會在該筆電同一分鐘連續稽核失敗3~4次最後就被鎖定帳號造成mail無法收發,解開帳號鎖定後確認mail是可正常收發即可表示帳號密碼是正確的,user 也說不可能每10分鐘就連file server,附上Log讓先進們參考,也請各位指點一下小弟該如何排除,謝謝。

    記錄檔名稱:         Security
    來源:            Microsoft-Windows-Security-Auditing
    日期:            2010/11/24 上午 10:32:54
    事件識別碼:         4625
    工作類別:          登入
    等級:            資訊
    關鍵字:           稽核失敗
    使用者:           不適用
    電腦:            svr.x.x.x

    描述:
    帳戶無法登入。

    主旨:
     安全性識別碼:  NULL SID
     帳戶名稱:  -
     帳戶網域:  -
     登入識別碼:  0x0

    登入類型:   3

    登入失敗的帳戶:
     安全性識別碼:  NULL SID
     帳戶名稱:  JASON
     帳戶網域:  JASON-NB

    失敗資訊:
     失敗原因:  不明的使用者名稱或錯誤密碼。
     狀態:   0xc000006d
     子狀態:  0xc000006a

    處理程序資訊:
     呼叫者處理程序識別碼: 0x0
     呼叫者處理程序名稱: -

    網路資訊:
     工作站名稱: JASON-PC
     來源網路位址: 10.0.0.144
     來源連接埠:  50181

    詳細驗證資訊:
     登入處理程序:  NtLmSsp
     驗證封裝: NTLM
     轉送的服務: -
     封裝名稱 (僅限 NTLM): -
     金鑰長度:  0

    當登入要求失敗的時候,就會產生這個事件。這個事件在嘗試存取的電腦上產生。

    主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。

    登錄類型欄位顯示要求的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。

    處理程序資訊欄位顯示系統上哪個帳戶與處理程序要求登入。

    網路資訊欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。

    驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
     - 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
     - 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
     - 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2010-11-24T02:32:54.048Z" />
        <EventRecordID>13557</EventRecordID>
        <Correlation />
        <Execution ProcessID="640" ThreadID="740" />
        <Channel>Security</Channel>
        <Computer>svr.x.x.x</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">JASON</Data>
        <Data Name="TargetDomainName">JASON-NB</Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc000006a</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">JASON-NB</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">10.0.0.144</Data>
        <Data Name="IpPort">50181</Data>
      </EventData>
    </Event>

    2010年11月24日 上午 03:53

解答

  • Dear jchenjimmy

    這個問題和windows 2008 R2無關,就您所提供來的資料,比較常見的問題是出在他將file server中所需的身份驗證記憶在電腦中

    因此在開啟我的電腦,或是開啟網路芳鄰時,就會將記憶著的身份驗證帳號密碼送出給file server

    此時就會造成file server的驗證失效,也就會留下這樣的log,建議您先查詢一下該電腦是否有記憶驗證帳密!

     


    Jason的電腦健身房 沒有永遠的安全 沒有永遠的弱點 有牌的神經病
    • 已標示為解答 jchenjimmy 2010年11月26日 上午 01:11
    2010年11月24日 上午 07:20

所有回覆

  • Dear jchenjimmy

    這個問題和windows 2008 R2無關,就您所提供來的資料,比較常見的問題是出在他將file server中所需的身份驗證記憶在電腦中

    因此在開啟我的電腦,或是開啟網路芳鄰時,就會將記憶著的身份驗證帳號密碼送出給file server

    此時就會造成file server的驗證失效,也就會留下這樣的log,建議您先查詢一下該電腦是否有記憶驗證帳密!

     


    Jason的電腦健身房 沒有永遠的安全 沒有永遠的弱點 有牌的神經病
    • 已標示為解答 jchenjimmy 2010年11月26日 上午 01:11
    2010年11月24日 上午 07:20
  • Dear Jason:

    謝謝您的幫忙,想再跟您請教一下,假設user是因為記憶帳密造成這問題,就算連入fire server記憶的帳密是正確的,user只是開筆電中的我的電腦或網路芳鄰依然會出現稽核失敗,所以要清除記憶密並不要設定記憶帳密,請問有其他方法可以讓user記憶帳密又可以不會發生稽核失敗的方法嗎?感謝您

    2010年11月24日 上午 08:09
  • 在使用者的電腦,去控制台,使用者帳戶,進階→管理密碼。

    把登入File server的密碼修改為正確的。

    另外,使用者有沒有連線網路磁碟機,若有就有可能一直試圖連線..

    2010年11月25日 上午 07:52
  • Dear Calvin:

    謝謝您的幫忙,已確認過密碼是正確的但還是會出現此錯誤訊息才會覺得怪。

     

    2010年11月26日 上午 01:15