Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - WireShark - отследить источник событий Windows Server Безопасность 4625

Ответить
Настройки темы
Log/Monitoring - WireShark - отследить источник событий Windows Server Безопасность 4625

Ветеран


Сообщения: 2098
Благодарности: 143


Конфигурация

Профиль | Отправить PM | Цитировать


Доброе время суток. Имеется сервер Windows Server 2008 R2 - КД, DHCP, DNS, файловый сервер, 1С, SQL. В Журнале "Безопасность" много событий 4625, с типом входа 3, и пустыми полями имени и IP адреса источника:

Событие 4625

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.12.2018 12:40:35
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: SRVR.ks.local
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: MINUTASS
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2018-12-29T06:40:35.129199800Z" />
<EventRecordID>204318082</EventRecordID>
<Correlation />
<Execution ProcessID="884" ThreadID="188" />
<Channel>Security</Channel>
<Computer>SRVR.ks.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">MINUTASS</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>


В плане зловредов сервер чист.

Сейчас я установил WireShark и пытаюсь выяснить с какого источника идет попытка взлома сервера. Проблема: выяснить это не могу. Нашел в фильтрах WireShark NTLMSSP, но там очень много параметром (скриншот ниже). Просьба подсказать какой и параметров раздела NTLM SSP нужно выбрать, чтобы найти трафик в WireShark, связанный по времени с событием в 4625 в Безопасности. Пробовал указать полностью раздел NTLMSSP в выражении, но трафик в WireShark не отображается, при этом новые события в Безопасности появляются - следовательно, нужно выбрать что-то другое, но вот что ?

-------
"Нет" - войне.


Отправлено: 09:53, 29-12-2018

 

Ветеран


Сообщения: 2098
Благодарности: 143

Профиль | Отправить PM | Цитировать


Нет идей ? Что-то я сам разобраться не могу.

-------
"Нет" - войне.


Отправлено: 07:52, 24-01-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для freese

Ветеран


Contributor


Сообщения: 6675
Благодарности: 1296

Профиль | Отправить PM | Цитировать


а данный сервер смотрит непосредственно в мир без всяких шлюзов?

Отправлено: 11:25, 24-01-2019 | #3


Старожил


Сообщения: 260
Благодарности: 27

Профиль | Отправить PM | Цитировать


мож idds cyberarms поможет найти адрес. Я сам не пользовался, но судя по описанию как раз к вашей проблеме

Отправлено: 08:01, 25-01-2019 | #4



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - WireShark - отследить источник событий Windows Server Безопасность 4625

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Просмоторщик событий в Hyper-V server djuwa4 Другие серверные продукты 1 09-02-2015 17:58
2008 R2 - [решено] журна событий винды - Безопасность iluffka Windows Server 2008/2008 R2 0 17-09-2014 14:52
Просмоторщик событий-Безопасность. Ask3t Тест-форум 1 11-07-2013 05:16
EventID - Код: 2505 Источник: Server Cooc Устранение критических ошибок Windows 1 08-11-2012 07:56
[решено] журнал событий 2k3 Server SANIOK_AV Microsoft Windows NT/2000/2003 5 12-11-2008 11:37




 
Переход