Evento 4625 Falha na auditoria NID SID falhou logons de rede

10

Em 3 sistemas separados, o seguinte evento está sendo registrado várias vezes (entre 30 a 4.000 vezes por dia, dependendo do sistema) no servidor do controlador de domínio:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Este evento é um pouco diferente de todos os outros que encontrei durante a pesquisa, mas determinei o seguinte:

  1. Event ID: 4625. "Falha no login de uma conta" .
  2. Logon Type: 3. "Rede (ou seja, conexão com a pasta compartilhada neste computador de outro local da rede)" .
  3. Security ID: NULL SID. "Uma conta válida não foi identificada" .
  4. Sub Status: 0xC0000064. "O nome do usuário não existe" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. O LSASS (Local Security Authority Subsystem Service) é um processo nos sistemas operacionais Microsoft Windows que é responsável por impor a política de segurança no sistema. Ele verifica os usuários que efetuam logon em um computador ou servidor Windows, manipula alterações de senha e cria tokens de acesso. Ele também grava no log de segurança do Windows.
  6. Workstation Name: SERVERNAME. A solicitação de autenticação está sendo enviada pelo ou através do próprio controlador de domínio.

Semelhanças dos sistemas afetados:

  1. Sistema operacional do servidor: Windows Small Business Server 2011 ou Windows Server 2012 R2 Essentials
  2. Sistema operacional de desktop: Windows 7 Professional (geralmente)

Diferenças dos sistemas afetados:

  1. Antivírus
  2. Filtragem da Internet integrada ao Active Directory
  3. Logons em cache da área de trabalho
  4. Funções (troca, backup, etc)

Algumas coisas interessantes que notei no sistema mais afetado:

  1. Recentemente, começamos a sincronizar as senhas das contas de usuário do Active Directory e do Office 365 por meio da integração do Office Server do Windows Server 2012 R2 Essentials. A integração requer que a senha de administrador do Office 365 e a política de segurança sejam escaladas. A sincronização exige que cada conta de usuário seja atribuída à conta online Microsoft correspondente, o que requer que a senha da conta seja alterada no próximo logon. Também adicionamos o domínio de email principal como um sufixo UPN nos domínios e relações de confiança do Active Directory e alteramos o UPN de todas as contas de usuário para o domínio de email. Efetivamente, isso permitiu que eles fizessem logon no domínio e no Office 365 usando o endereço de email e a senha. No entanto, desde que isso foi feito, o número de eventos registrados por dia aumentou de ~ 900 para ~ 3.900. Nota:
  2. A maior parte dos eventos parece ser registrada em intervalos regulares, geralmente a cada 30 ou 60 minutos, exceto ~ 09:00, quando os usuários chegam ao trabalho: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    03/03/2015 08:52
    03/07 2015 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. O seguinte evento é registrado no servidor de serviços de terminal / área de trabalho remota, embora nem em algumas ocasiões:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Então, em resumo, definitivamente parece estar relacionado ao acesso à rede de computadores desktop usando contas de usuário da equipe, mas não consigo ver como.

Atualização 2015/08/25 08:48:

No sistema mais severamente afetado, fiz o seguinte para isolar o problema e após cada revertida a alteração:

  1. Encerre o servidor serviços de desktop / terminal remoto e os inícios de sessão falhados genéricos que continuar.
  2. Desconectado do servidor controlador de domínio da rede e os inícios de sessão falhados genéricos que continuar.
  3. Reinicie o servidor no modo de segurança sem rede e os logons genéricos com falha não continuem.
  4. Parado e desativado todos os serviços "desnecessários" (agente de monitoramento, backup, rede de filtragem integração, TeamViewer, antivírus, etc) e os inícios de sessão falhados genéricos que continuar.
  5. Parado e serviços Windows Server Essentials deficientes ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, e WseNtfSvc) e os inícios de sessão falhados genéricos não continuar.
  6. Eventualmente, parou e desabilitou o Serviço de Gerenciamento do Windows Server Essentials ( WseMgmtSvc) e os logons genéricos com falha não continuaram.

Verifiquei duas vezes se o Serviço de Gerenciamento do Windows Server Essentials ( WseMgmtSvc) é responsável por esses logons com falha genéricos, desabilitando-o por alguns dias e não houve logons com falha genéricos e habilitando-o por alguns dias e houve milhares de logons com falha genéricos .

Atualização 08/08/2015 09:06:

Em 07/10/2015 às 16:42, encontrei a seguinte tarefa agendada:

  • Nome: "Avaliações de alerta"
  • Local: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Autor: "Microsoft Corporation"
  • Descrição: "Esta tarefa avalia periodicamente a integridade do computador."
  • Conta: "SYSTEM"
  • Acionadores: "Às 08:54 de 28/10/2014 - após acionado, repita a cada 30 minutos indefinidamente"
  • Ações: "Inicie um programa: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / método: EvaluateAlertsTaskAction / task: "Alert Evaluations" "

Esse período corresponde quase exatamente ao comportamento acima, então eu o desabilitei para ver se isso afeta o problema.

Em 08/10/2015 às 08:57, descobri que apenas 47 desses logons com falha genéricos estavam registrados desde que em intervalos irregulares.

Então, eu reduzi ainda mais.

mythofechelon
fonte
Qual método você usou para configurar suas máquinas win7?
estranho walker
@ strange walker É provável que, em cada um dos 3 ambientes afetados, o lote de PCs iniciais tenha sido configurado da seguinte forma: um único PC foi configurado (drivers, software, etc.), uma imagem do PC foi criada, os outros PCs foram configurados usando a imagem configurada e, em seguida, cada PC foi renomeado e adicionado ao domínio por meio do assistente do Connector.
Mythofechelon
Para ser sincero, eu simplesmente ignoraria esses eventos. O Windows cria uma infinidade de eventos de segurança e esse evento específico definitivamente não é prejudicial.
Lucky Luke
@ Luke Sortudo Infelizmente, nosso sistema de monitoramento não pode diferenciar eventos de logon com falha, portanto não podemos realmente aumentar o limite da verificação caso ocorram problemas.
Mythofechelon
1
@ Luke Sortudo Estamos considerando isso, mas isso é um tempo de folga e isso não resolve a causa raiz, infelizmente, então ainda preciso de uma resposta para isso.
Mythofechelon

Respostas:

5

Esse evento geralmente é causado por uma credencial oculta antiga. Tente isso no sistema que deu o erro:

Em um prompt de comandos, execute: psexec -i -s -d cmd.exe
Na nova janela do cmd, execute: rundll32 keymgr.dll,KRShowKeyMgr

Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.

zea62
fonte
Não há entradas. Além disso, não é o mesmo que o Credential Manager?
Mythofechelon
@mythofechelon - Sim, tecnicamente esse é o "Credential Manager", mas o Credential Manager armazena credenciais por usuário. Usar o psexec para abrir uma janela do cmd do SYSTEM e executar o Credential Manager executa o Credential Manager como o usuário do SYSTEM, que é a conta do computador local.
Thomas
1

Parece que o problema foi causado pela tarefa agendada "Alert Evaluations".

mythofechelon
fonte
Como assim, foi causado por isso? O que essa tarefa está fazendo? O que havia de errado com o fato de os erros estarem ocorrendo?
Ashley
Bem, se você lesse meus diagnósticos, veria que os prazos coincidiam e desabilitavam resolviam o problema.
Mythofechelon
3
Não, não resolveu o problema - escondeu o problema.
NickG