Événement 4625 Échec d'audit NULL SID a échoué les connexions réseau

10

Dans 3 systèmes distincts, l'événement suivant est enregistré plusieurs fois (entre 30 et 4 000 fois par jour selon le système) sur le serveur du contrôleur de domaine:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Cet événement est légèrement différent de tous les autres que j'ai trouvés au cours de la recherche, mais j'ai déterminé ce qui suit:

  1. Event ID: 4625. "Un compte n'a pas pu se connecter" .
  2. Logon Type: 3. Msgstr "Réseau (c'est à dire connexion au dossier partagé sur cet ordinateur depuis un autre endroit du réseau)" .
  3. Security ID: NULL SID. Msgstr "Un compte valide n'a pas été identifié" .
  4. Sub Status: 0xC0000064. "Le nom d'utilisateur n'existe pas" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Le service de sous-système de l'autorité de sécurité locale (LSASS) est un processus dans les systèmes d'exploitation Microsoft Windows qui est responsable de l'application de la politique de sécurité sur le système. Il vérifie que les utilisateurs se connectent à un ordinateur ou un serveur Windows, gère les modifications de mot de passe et crée des jetons d'accès. Il écrit également dans le journal de sécurité Windows.
  6. Workstation Name: SERVERNAME. La demande d'authentification est soumise par ou via le contrôleur de domaine lui-même.

Similitudes des systèmes affectés:

  1. Système d'exploitation serveur: Windows Small Business Server 2011 ou Windows Server 2012 R2 Essentials
  2. Système d'exploitation de bureau: Windows 7 Professionnel (généralement)

Différences entre les systèmes concernés:

  1. Antivirus
  2. Filtrage Internet intégré à Active Directory
  3. Connexions mises en cache sur le bureau
  4. Rôles (Exchange, sauvegarde, etc.)

Certaines choses intéressantes que j'ai remarquées dans le système le plus gravement touché:

  1. Nous avons récemment commencé à synchroniser les mots de passe des comptes d'utilisateurs Active Directory et Office 365 via l'intégration d'Office 365 à Windows Server 2012 R2 Essentials. L'intégration nécessite un mot de passe d'administrateur Office 365 et la stratégie de sécurité à escalader. La synchronisation nécessite que chaque compte d'utilisateur soit affecté au compte en ligne Microsoft correspondant, ce qui nécessite que le mot de passe du compte soit modifié lors de la prochaine connexion. Nous avons également ajouté leur domaine de messagerie principal en tant que suffixe UPN dans les domaines et approbations Active Directory et changé l'UPN de tous les comptes d'utilisateurs en leur domaine de messagerie. En effet, cela leur a permis de se connecter au domaine et à Office 365 en utilisant leur adresse e-mail et leur mot de passe. Cependant, depuis ce temps, le nombre d'événements enregistrés par jour est passé de ~ 900 à ~ 3 900. Remarque:
  2. La plupart des événements semblent être enregistrés à intervalles réguliers, généralement toutes les 30 ou 60 minutes, sauf pour ~ 09: 00, heure à laquelle les utilisateurs arrivent au travail: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02
    23:25 2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03
    02:24 2015/07/03
    02:55 2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03
    05:54
    2015/07/03 06:25
    2015/07/03
    07:25 2015/07/03
    08:24 2015/07/03 08:27 2015/07/03 08: 49
    2015/07/03
    08:52 2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03
    09:01 2015/07/03
    09:03 2015/07/03 09:06
    2015 / 07/03 09:08 2015/07/03 09:10
    2015/07/03
    09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03
    10:24 2015/07/03 11:25

  3. L'événement suivant est enregistré sur le serveur de services de terminal / bureau à distance bien que nulle part près autant de fois:

    An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       %terminalServerHostname%
    Account Domain:     %NetBIOSDomainName%

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   %terminalServerHostname%
    Source Network Address: %terminalServerIPv6Address%
    Source Port:        %randomHighNumber%

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Donc, en résumé, cela semble définitivement lié à l'accès réseau à partir d'ordinateurs de bureau utilisant des comptes d'utilisateurs personnels, mais je ne vois pas comment.

Mise à jour 2015/08/25 08:48:

Dans le système le plus gravement touché, j'ai fait ce qui suit pour isoler le problème et après chaque annulation du changement:

  1. Arrêtez le serveur de services de bureau distant / terminal et les ouvertures de session génériques ont continué.
  2. Disconnected le serveur de contrôleur de domaine du réseau et les génériques ayant échoué logons ne continuer.
  3. Redémarrée le serveur en mode sans échec sans réseau et les connexions génériques ont échoué ne pas continuer.
  4. Nous nous sommes arrêtés et désactivés tous les services « inutiles » (agent de surveillance, sauvegarde, intégration filtrage réseau, TeamViewer, antivirus, etc.) et les génériques ont échoué logons ne se poursuivent.
  5. Nous nous sommes arrêtés et services désactivés Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvcet WseNtfSvc) et les génériques logons échoué ne se poursuivent.
  6. Finalement, arrêté et désactivé le service de gestion Essentials Windows Server ( WseMgmtSvc) et les génériques logons échoué ne se poursuivent.

J'ai revérifié que le service de gestion Windows Server Essentials ( WseMgmtSvc) est responsable de ces ouvertures de session génériques en les désactivant pendant quelques jours et il n'y a pas eu de connexions génériques en échec et en les activant pendant quelques jours et il y a eu des milliers de connexions génériques ayant échoué .

Mise à jour 2015/10/08 09:06:

Le 2015/10/07 à 16:42, j'ai trouvé la tâche planifiée suivante:

  • Nom: "Évaluations des alertes"
  • Emplacement: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Auteur: "Microsoft Corporation"
  • Description: "Cette tâche évalue périodiquement l'intégrité de l'ordinateur."
  • Compte: "SYSTEM"
  • Déclencheurs: "À 08:54 le 28/10/2014 - Après le déclenchement, répétez toutes les 30 minutes indéfiniment"
  • Actions: "Démarrez un programme: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" " /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "

Ce délai correspond presque exactement au comportement ci-dessus, je l'ai donc désactivé pour voir s'il affecte le problème.

Le 08/10/2015 à 08:57, j'ai constaté que seulement 47 de ces ouvertures de session génériques ont été enregistrées depuis à intervalles irréguliers.

Donc, je l'ai encore réduit.

security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 
mythofechelon
source
Quelle méthode avez-vous utilisée pour configurer vos machines win7?
étrange marcheur
@strange walker Il est probable que, dans chacun des 3 environnements affectés, le lot de PC initiaux ait été configuré comme suit: un seul PC a été configuré (pilotes, logiciels, etc.), une image du PC a été créée, les autres PC ont été imagée à l'aide de l'image configurée, puis chaque PC a été renommé et ajouté au domaine via l'assistant de connecteur.
mythofechelon
Pour être honnête, je voudrais simplement ignorer ces événements. Windows crée une myriade d'événements de sécurité, et cet événement particulier n'est certainement pas dangereux.
Lucky Luke
@Lucky Luke Malheureusement, notre système de surveillance ne peut pas différencier les événements de connexion ayant échoué, nous ne pouvons donc pas vraiment augmenter le seuil de vérification au cas où nous manquerions un problème réel.
mythofechelon
1
@Lucky Luke Nous y réfléchissons, mais cela ne fait pas de temps et cela ne résout pas la cause profonde, malheureusement, j'ai donc encore besoin d'une réponse à cela.
mythofechelon

Réponses:

5

Cet événement est généralement causé par des informations d'identification cachées périmées. Essayez ceci à partir du système donnant l'erreur:

Depuis une invite de commande, exécutez: psexec -i -s -d cmd.exe
Depuis la nouvelle fenêtre cmd, exécutez: rundll32 keymgr.dll,KRShowKeyMgr

Supprimez tous les éléments qui apparaissent dans la liste des noms d'utilisateur et mots de passe stockés. Redémarrer le PC.

zea62
source
Il n'y a aucune entrée. En outre, n'est-ce pas la même chose que Credential Manager?
mythofechelon
@mythofechelon - Oui, techniquement, il s'agit du "Credential Manager", mais Credential Manager stocke les informations d'identification par utilisateur. L'utilisation de psexec pour ouvrir une fenêtre SYSTEM cmd puis exécuter Credential Manager exécute Credential Manager en tant qu'utilisateur SYSTEM, qui est le compte d'ordinateur local.
Thomas
1

Il semble que le problème soit dû à la tâche planifiée "Alert Alert".

mythofechelon
source
Que voulez-vous dire par cela? Que fait cette tâche? Quel était le problème avec cela que les erreurs se produisaient?
Ashley
Eh bien, si vous lisiez mes diagnostics, vous verriez que les délais correspondent et le désactiver résout le problème.
mythofechelon
3
Non, cela n'a pas résolu le problème - il a caché le problème.
NickG
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.