|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - WireShark - отследить источник событий Windows Server Безопасность 4625 |
|
|
Log/Monitoring - WireShark - отследить источник событий Windows Server Безопасность 4625
|
|
Ветеран Сообщения: 2104 |
Доброе время суток. Имеется сервер Windows Server 2008 R2 - КД, DHCP, DNS, файловый сервер, 1С, SQL. В Журнале "Безопасность" много событий 4625, с типом входа 3, и пустыми полями имени и IP адреса источника:
Событие 4625
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 29.12.2018 12:40:35 Код события: 4625 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: SRVR.ks.local Описание: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: MINUTASS Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xc000006d Подсостояние: 0xc0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2018-12-29T06:40:35.129199800Z" /> <EventRecordID>204318082</EventRecordID> <Correlation /> <Execution ProcessID="884" ThreadID="188" /> <Channel>Security</Channel> <Computer>SRVR.ks.local</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">MINUTASS</Data> <Data Name="TargetDomainName"> </Data> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc0000064</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp </Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName"> </Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> В плане зловредов сервер чист. Сейчас я установил WireShark и пытаюсь выяснить с какого источника идет попытка взлома сервера. Проблема: выяснить это не могу. Нашел в фильтрах WireShark NTLMSSP, но там очень много параметром (скриншот ниже). Просьба подсказать какой и параметров раздела NTLM SSP нужно выбрать, чтобы найти трафик в WireShark, связанный по времени с событием в 4625 в Безопасности. Пробовал указать полностью раздел NTLMSSP в выражении, но трафик в WireShark не отображается, при этом новые события в Безопасности появляются - следовательно, нужно выбрать что-то другое, но вот что ?  |
|
|
------- Отправлено: 09:53, 29-12-2018 |
|
Ветеран Сообщения: 2104
|
Профиль | Отправить PM | Цитировать Нет идей ? Что-то я сам разобраться не могу.
|
|
------- Отправлено: 07:52, 24-01-2019 | #2 |
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать а данный сервер смотрит непосредственно в мир без всяких шлюзов?
|
|
Отправлено: 11:25, 24-01-2019 | #3 |
|
Старожил Сообщения: 260
|
Профиль | Отправить PM | Цитировать мож idds cyberarms поможет найти адрес. Я сам не пользовался, но судя по описанию как раз к вашей проблеме
|
|
Отправлено: 08:01, 25-01-2019 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - Просмоторщик событий в Hyper-V server | djuwa4 | Другие серверные продукты | 1 | 09-02-2015 17:58 | |
| 2008 R2 - [решено] журна событий винды - Безопасность | iluffka | Windows Server 2008/2008 R2 | 0 | 17-09-2014 14:52 | |
| Просмоторщик событий-Безопасность. | Ask3t | Тест-форум | 1 | 11-07-2013 05:16 | |
| EventID - Код: 2505 Источник: Server | Cooc | Устранение критических ошибок Windows | 1 | 08-11-2012 07:56 | |
| [решено] журнал событий 2k3 Server | SANIOK_AV | Microsoft Windows NT/2000/2003 | 5 | 12-11-2008 11:37 | |
|
|
Время: 09:43. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
