Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2016/2019/2022 (http://forum.oszone.net/forumdisplay.php?f=119)
-   -   [решено] Windows Server 2019 и код события 4625 (http://forum.oszone.net/showthread.php?t=355903)

Maza11 22-11-2024 21:39 3033484
Windows Server 2019 и код события 4625
 
Добрый день, есть Windows Server 2019 у которого с периодом в 15 минут происходит событие Аудит отказа с кодом 4625 в журнале безопасности
Периодичность 09:50, 10:05, 10:20, 10:35 и т.д.
IpPort разный в каждом событии 52320, 52342, 52292, 52283 и т.д.
Сервер на виртуалке (esxi) софта установлено по рабочему минимуму 1С, word, excel, winrar, acrobat reader dc, никаких кряков и репаков
В свойствах стеевой карты отключен протокол IPv6
Какая-то локальная служба или программа долбится каждые 15 минут в авторизацию?

Полный отчет с XML данными
Код:
Имя журнала:  Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          22.11.2024 20:05:27
Код события:  4625
Категория задачи:Logon
Уровень:      Сведения
Ключевые слова:Аудит отказа
Пользователь:  Н/Д
Компьютер:    ИмяСервера.домен.ком
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
        ИД безопасности:                NULL SID
        Имя учетной записи:                -
        Домен учетной записи:                -
        Код входа:                0x0

Тип входа:                        3

Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                ИмяСервера$
        Домен учетной записи:                ДОМЕН

Сведения об ошибке:
        Причина ошибки:                Ошибка при входе.
        Состояние:                        0x80090302
        Подсостояние:                0xC0000418

Сведения о процессе:
        Идентификатор процесса вызывающей стороны:        0x0
        Имя процесса вызывающей стороны:        -

Сведения о сети:
        Имя рабочей станции:        ИмяСервера
        Сетевой адрес источника:        ::1
        Порт источника:                52876

Сведения о проверке подлинности:
        Процесс входа:                NtLmSsp
        Пакет проверки подлинности:        NTLM
        Промежуточные службы:        -
        Имя пакета (только NTLM):        -
        Длина ключа:                0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
        - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
        - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
        - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2024-11-22T18:05:27.227143500Z" />
    <EventRecordID>326802</EventRecordID>
    <Correlation ActivityID="{5db3e664-3b67-0001-32e7-b35d673bdb01}" />
    <Execution ProcessID="660" ThreadID="716" />
    <Channel>Security</Channel>
    <Computer>ИмяСервера.домен.ком</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">ИмяСервера$</Data>
    <Data Name="TargetDomainName">ДОМЕН</Data>
    <Data Name="Status">0x80090302</Data>
    <Data Name="FailureReason">%%2304</Data>
    <Data Name="SubStatus">0xc0000418</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">ИмяСервера$ </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">::1</Data>
    <Data Name="IpPort">52876</Data>
  </EventData>
</Event>
Как можно найти виновника событий?
Execution ProcessID="660" это процесс lsas.exe
В политиках компьютера
Сетевая безопасность: уровень проверки подлинности LAN Manager - Send NTLMv2 response only. Refuse LM& NTLM.

NickM 22-11-2024 22:35 3033486
Ваша тема?

Постоянные попытки подключения на сервер с локальной машины

Maza11 23-11-2024 00:16 3033488
Цитата:
Цитата NickM
Ваша тема? »
ситуация примерно такая же, только у меня он сам к себе подключается причем по IPv6
может от Acrobat DC или Microsoft Office процесс какой-то, там оно и службы и много чего своего ставить при установке, всякие Adobe.ARM и OfficeClickToRun в процессах висят же.
Через FRST отчет сделал, почитал его, понятнее не стало.

Если известная примерная дата через 15 минут с точностью до 1-2 секунд, может можно мониторинг какой-то запустить и отследить кто именно в ту секунду обращался к lsas.exe
обращения были в
[22.11.2024 22:20:29]
[22.11.2024 22:35:29]
[22.11.2024 22:50:29]
[22.11.2024 23:05:30]

Maza11 24-11-2024 16:58 3033551
запустил TCPLogView и NetworkTrafficView от NirSoft
Аудит отказа произошел в 24.11.2024 15:35:56
Local Address : 192.168.XX.2 локальный адрес этого сервера
Remote Address : 192.168.XX.1 адрес домена контроллера
LOG

Код:
==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address    : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57022
Remote Port      : 135
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address    : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57023
Remote Port      : 49701
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяСервера.домен.ком
Local Port        : 57019
Remote Port      : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

только в событиях
Порт источника: 57020
А в логе 57019, но время совпадает, с портом 57020 записей нет в логе

Еще один лог в 16:05:56, здесь порт 57040 совпадает с портом в журнале событий
LOG

Код:
==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49671
Remote Port      : 0
Process ID        : 2904
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57039
Remote Port      : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57040
Remote Port      : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Close
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49671
Remote Port      : 0
Process ID        : 2904
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Close
Local Address    : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57040
Remote Port      : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address    : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57042
Remote Port      : 135
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address    : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57043
Remote Port      : 49701
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country :
==================================================



насколько я понимаю, происходит доменная синхронизация по IPv4 успешно, потом по IPv6 он зачем-то обращается сам к себе и происходит отказ с соответствующей записью, правильно?
Как ее отключить, если IPv6 не используется и нужно ли это.

Есть вот такая статья
Руководство по настройке IPv6 в Windows для опытных пользователей
https://learn.microsoft.com/ru-ru/tr...pv6-in-windows

где в реестре отключают и настраивают IPv6
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
Название: DisabledComponents
Без вашего совета я не полезу туда бездумно отключать все подряд.
Тем более я не знаю какой из нужных параметров выбрать.
Напомню что в настройках флаг IPv6 cнят в Ethernet соединении, но оно к себе как локалхост почему все равно обращается по IPv6

Maza11 24-11-2024 22:42 3033569
Отключил IPv6 через реестр DisabledComponents - FF
стало обращаться к 127.0.0.1 вместо ::1 также после обращения к DC каждые 15 минут
[spoiler=LOG]
Код:
==================================================
Event Time        : 24.11.2024 21:28:10
Event Type        : Close
Local Address    : 127.0.0.1
Remote Address    : 127.0.0.1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49676
Remote Port      : 49891
Process ID        : 3024
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

==================================================
Event Time        : 24.11.2024 21:28:10
Event Type        : Close
Local Address    : 127.0.0.1
Remote Address    : 127.0.0.1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49891
Remote Port      : 49676
Process ID        : 344
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country :
==================================================

скрин

Maza11 26-11-2024 15:06 3033600
Отслеживал через Process Monitor
дата 25.11.2024 18:29:16 порт источника 51015
Что-то очень похожее на сервер терминалов.
Если я правильно отследил цепочку
(WinServ2019 если что является сервером терминалов сам себе, лицензирование на устройство, было прописано localhost)
Код:
C:\Windows\System32\svchost.exe -k termsvcs -s TermService
C:\Windows\system32\svchost -k TSLicensing
а перед этими записями было обращение в порт 51014
Код:
C:\Windows\system32\svchost.exe -k RPCSS -p
В политиках компьютера
Сетевая безопасность: уровень проверки подлинности LAN Manager - Send NTLMv2 response only. Refuse LM& NTLM.
Require user authentication for remote connections by using Network Level Authentication (NLA) - Отключен
сервер работает менее 120 дней и постоянных лицензий на устройство еще не выдал

скрины Process Monitor и сервера терминалов



Можете помочь?

Maza11 28-11-2024 02:27 3033633
в Средство диагностики лицензирования удаленных рабочих столов на вкладке действия под localhost есть Предоставьте учетные данные, что это такое, из-за чего у меня могут происходить эти записи отказа доступа?
Если обычный NTLM запрещен, а разрешен только NTLMv2, а он сам к себе как localhost по NTLM обращается и получает отказ, по настройкам групповых политик домена Send NTLMv2 response only. Refuse LM& NTLM., разрешать NTLM траффик не вариант.

Maza11 28-11-2024 12:25 3033638
решил вопрос, не правильно был прописан сервер лицензий
в домене его нужно указывать как имясервера.домен.ком, а не localhost как в рабочей группе


Время: 23:14.

Время: 23:14.
© OSzone.net 2001-