Dans 3 systèmes distincts, l'événement suivant est enregistré de nombreuses fois (entre 30 et 4 000 fois par jour selon le système) sur le serveur du contrôleur de domaine :
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: %domainControllerHostname%$
Account Domain: %NetBIOSDomainName%
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x1ec
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: %domainControllerHostname%
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.Cet événement est légèrement différent de tous les autres que j'ai trouvés au cours de mes recherches, mais j'ai déterminé ce qui suit :
-
Event ID: 4625. "Un compte n'a pas réussi à se connecter" . -
Logon Type: 3. "Réseau (c'est-à-dire connexion à un dossier partagé sur cet ordinateur depuis un autre endroit du réseau)". . -
Security ID: NULL SID. "Un compte valide n'a pas été identifié" . -
Sub Status: 0xC0000064. "Le nom d'utilisateur n'existe pas" . -
Caller Process Name: C:\Windows\System32\lsass.exe. Local Security Authority Subsystem Service (LSASS), est un processus des systèmes d'exploitation Microsoft Windows qui est responsable de l'application de la politique de sécurité sur le système. Il vérifie les utilisateurs qui se connectent à un ordinateur ou à un serveur Windows, gère les changements de mot de passe et crée des jetons d'accès. Il écrit également dans le journal de sécurité de Windows. -
Workstation Name: SERVERNAME. La demande d'authentification est soumise par ou via le contrôleur de domaine lui-même.
Similitudes des systèmes affectés :
- Système d'exploitation du serveur : Windows Small Business Server 2011 ou Windows Server 2012 R2 Essentials
- Système d'exploitation de bureau : Windows 7 Professionnel (généralement)
Les différences entre les systèmes affectés :
- Antivirus
- Filtrage Internet intégré à Active Directory
- Connexion au bureau en cache
- Rôles (Exchange, sauvegarde, etc.)
J'ai remarqué des choses intéressantes dans le système le plus sévèrement touché :
- Nous avons récemment commencé à synchroniser les mots de passe des comptes utilisateurs Active Directory et Office 365 via l'intégration Office 365 de Windows Server 2012 R2 Essentials. L'intégration nécessite un mot de passe d'administrateur d'Office 365 et la politique de sécurité à escalader. La synchronisation nécessite que chaque compte d'utilisateur soit affecté au compte en ligne Microsoft correspondant, ce qui exige que le mot de passe du compte soit modifié à la prochaine connexion. Nous avons également ajouté leur domaine de messagerie principal comme suffixe UPN dans Active Directory Domains and Trusts et modifié l'UPN de tous les comptes d'utilisateur pour qu'il corresponde à leur domaine de messagerie. Cela leur a permis de se connecter au domaine et à Office 365 en utilisant leur adresse électronique et leur mot de passe. Cependant, depuis que nous avons fait cela, le nombre d'événements enregistrés par jour est passé de ~900 à ~3 900. Remarque : aucun des comptes d'utilisateurs administratifs ou basés sur des tâches (sauvegarde, scanner, etc.) n'a été modifié et aucun utilisateur n'a de problème pour accéder à une partie du système.
- La plupart des événements semblent être enregistrés à intervalles réguliers, généralement toutes les 30 ou 60 minutes, à l'exception de ~09:00 qui correspond à l'heure à laquelle les utilisateurs arrivent au travail : 2015/07/02 18:55
2015/07/02 19:25
2015/07/02 19:54
2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07/03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03 02:55
2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08:49
2015/07/03 08:52
2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03 09:03
2015/07/03 09:06
2015/07/03 09:08
2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03 09:17
2015/07/03 09:13
2015/07/03 09:25
2015/07/03 10:24
2015/07/03 11:25 -
L'événement suivant est enregistré sur le serveur de services de terminal/de bureau à distance, mais pas aussi souvent :
An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: %terminalServerHostname% Account Domain: %NetBIOSDomainName% Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: %terminalServerHostname% Source Network Address: %terminalServerIPv6Address% Source Port: %randomHighNumber% Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Donc, en résumé, il semble bien que le problème soit lié à l'accès au réseau à partir d'ordinateurs de bureau utilisant des comptes d'utilisateur du personnel, mais je ne vois pas comment.
Mise à jour 2015/08/25 08:48 :
Dans le système le plus sévèrement touché, j'ai effectué les opérations suivantes pour isoler le problème et, après chacune d'elles, j'ai annulé la modification :
- Fermez le serveur de services de terminal/de bureau à distance et les ouvertures de session génériques qui ont échoué. a fait continuer.
- Le serveur du contrôleur de domaine a été déconnecté du réseau et les connexions génériques ont échoué. a fait continuer.
- Redémarrage du serveur en mode sans échec, sans réseau, et échec des connexions génériques. n'a pas continuer.
- Arrêt et désactivation de tous les services "inutiles" (agent de surveillance, sauvegarde, intégration du filtrage réseau, TeamViewer, antivirus, etc.) et des échecs de connexion génériques. a fait continuer.
- Arrêt et désactivation des services Windows Server Essentials (
WseComputerBackupSvc,WseEmailSvc,WseHealthSvc,WseMediaSvc,WseMgmtSvcetWseNtfSvc) et les échecs de connexion génériques n'a pas continuer. - Eventuellement, arrêter et désactiver le Service de gestion des Essentiels de Windows Server (
WseMgmtSvc) et les échecs de connexion génériques n'a pas continuer.
J'ai vérifié que le service de gestion de Windows Server Essentials ( WseMgmtSvc ) est responsable de ces échecs de connexion génériques en le désactivant pendant quelques jours et il n'y avait pas d'échecs de connexion génériques et en l'activant pendant quelques jours et il y avait des milliers d'échecs de connexion génériques.
Mise à jour 2015/10/08 09:06 :
Le 2015/10/07 à 16:42, j'ai trouvé la tâche planifiée suivante :
- Nom : "Evaluations d'alerte"
- Emplacement : " \Microsoft\Windows\Windows Server Essentials "
- Auteur : "Microsoft Corporation"
- Description : "Cette tâche évalue périodiquement la santé de l'ordinateur".
- Compte : "SYSTEM"
- Déclencheurs : "A 08:54 le 28/10/2014 - Après le déclenchement, répéter toutes les 30 minutes indéfiniment".
- Actions : "Démarrer un programme : C:\Windows\System32\Essentials\RunTask.exe /asm :" C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll " /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask /method:EvaluateAlertsTaskAction /task : "Evaluations des alertes""
Cette période correspond presque exactement au comportement ci-dessus. Je l'ai donc désactivée pour voir si elle affecte le problème.
Le 2015/10/08 à 08:57, j'ai constaté que seules 47 de ces connexions génériques échouées étaient enregistrées depuis à intervalles irréguliers.
Donc, j'ai encore réduit la liste.
0 votes
Quelle méthode avez-vous utilisée pour configurer vos machines win7 ?
0 votes
@strange walker Il est probable que, dans chacun des trois environnements concernés, le lot de PC initiaux a été configuré comme suit : un seul PC a été configuré (pilotes, logiciels, etc.), une image du PC a été créée, les autres PC ont été imagés à l'aide de l'image configurée, puis chaque PC a été renommé et ajouté au domaine via l'assistant Connecteur.
0 votes
Pour être honnête, j'ignorerais tout simplement ces événements. Windows crée une myriade d'événements de sécurité, et cet événement particulier n'est absolument pas nuisible.
0 votes
@Lucky Luke Malheureusement, notre système de surveillance ne peut pas faire la différence entre les événements d'échec de connexion et nous ne pouvons donc pas vraiment augmenter le seuil de vérification au cas où nous manquerions un problème réel.
0 votes
Vous ne pouvez donc pas exclure/ignorer les événements qui contiennent "NULL SID" par exemple ? Quel système de surveillance utilisez-vous ?
0 votes
@Lucky Luke Je ne crois pas que la surveillance automatisée de MAXfocus le fasse, non. Il semble qu'il vérifie simplement si le nombre de logs d'échec d'audit a dépassé le seuil défini.
0 votes
C'est surprenant, j'envisagerais d'utiliser une solution de surveillance différente (si possible), je suis en fait incrédule que cela ne soit pas possible. Vous pourriez également limiter les audits, mais vous risqueriez alors de passer à côté de défaillances d'audit critiques. Mais encore une fois, vous les manquerez probablement de toute façon puisqu'elles seront masquées par les défaillances absurdes que vous recevez régulièrement.
1 votes
@Lucky Luke Nous l'envisageons mais c'est encore loin et cela ne résout pas la cause première, malheureusement, donc j'ai toujours besoin d'une réponse à cette question.
0 votes
Vous voudrez peut-être vérifier si quelqu'un essaie de pirater votre serveur s'il est public.