服务器 Gind.cn
  1. 服务器 Gind.cn
  3. logintypes8(NetworkCleartext)的数千个4625login失败错误的来源是什么?
Intereting Posts
当创buildDomainKeys是否重要,如果我使用o =〜或o = – ? iptables只在服务器启动时阻止OpenVPN Windows Server:安全筛选(在“范围”选项卡下)和“组策略pipe理”中的“委派”选项卡之间有什么区别? Apache .htaccess <ifModule不允许在这里 通过pop3 / imap获取邮件到postfix / dovecot Win2012r2服务恢复标签文档拒绝启动 SSH客户端选项来抑制服务器横幅? 原生SMB / CIFS通过ZFS或Samba来代替 一个用户通过DSSlogin到MFP时总是不成功 视觉SVN服务器安装错误 – 共享驱动器 – 访问被拒绝 我如何查找stream行网站的服务器和networking主机信息? 运行Oracle SQL脚本并通过命令提示符从sqlplus.exe退出 Shorewallredirect规则仅适用于同一networking中的某些主机 两个networking之间的奇怪路由 别名如果目录不存在

logintypes8(NetworkCleartext)的数千个4625login失败错误的来源是什么?

我有一个Windows Server 2008 R2系统,每天在Windows日志的安全部分显示数千个4625login失败错误,并且logintypes8(NetworkCleartext)。 在“源networking地址”中没有列出尝试访问系统的IP地址,所以用于阻止IP失败的脚本通常无法find它们。

这些login尝试可能来自哪些服务?

以下是其中一个例子: 

An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x4d0 Caller Process Name: C:\Windows\System32\svchost.exe Network Information: Workstation Name: system-name Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: Advapi Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network). The Process Information fields indicate which account and process on the system requested the logon. The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The authentication information fields provide detailed information about this specific logon request. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

有多个login源可能会产生这些错误:

  1. FTPlogin – 检查你的FTP日志,看看login失败是否出现在同一时间。 这是我的情况的来源,我花了很长时间才弄清楚,这就是为什么我发布这个。
  2. 通过http或https通过基本身份validationlogin(简单但可能危险的方式来密码保护网站)
  3. ASP脚本
  4. 有可能其他的我不知道

数字2和3在WindowsSecurity.com被提及 :

此logintypes表示logintypes3的networkinglogin,但密码通过networking以明文forms发送。 Windows服务器不允许连接到具有明文身份validation的共享文件或打印机。 我知道的唯一情况是使用ADVAPI在ASP脚本中login,或者当用户使用IIS的基本身份validation模式login到IIS时。 在这两种情况下,事件描述中的login过程将列出advapi。 基本身份validation只有在不包含在SSL会话(如https)中时才是危险的。 就由ASP生成的login而言,脚本记住在源代码中embedded密码对于维护目的来说是不好的做法,以及恶意的人会查看源代码从而获得密码的风险。

我会运行一个netstat -a -n | find "1232" netstat -a -n | find "1232"来查看进程ID(PID)1232正在监听的端口。 这是产生这些authentication失败的PID。 您可以嗅探这些端口上的stream量来追踪源代码。

(我很难svchost.exe运行在进程内的w / svchost.exe服务,并侦听身份validation,这几乎让我觉得第三方…)

通过networking以明文forms发送密码时,会出现logintypes8 。 IIS中的基本身份validation最有可能导致这种login失败。 据我所知,最终用户通过其桌面或移动设备 ,有基本的身份validation有五个常用的基于Microsoft IIS的服务,如OWA客户端MS Exchange ActiveSyncOutlook AnywhereFTP客户端SharePoint服务器

当最终用户使用错误的密码连接基于身份validation的OWA客户端从其desktop-pc /移动设备连接时,具有logintypes8的事件4625将logging在承载OWA的Exchange Server中。

检查这篇文章: http : //www.morgantechspace.com/2014/12/Find-Account-Lockout-Source-for-Logon-Type-8.html