web-dev-qa-db-fra.com

Événement 4625 Échec d'audit NULL SID a échoué les connexions réseau

Dans 3 systèmes distincts, l'événement suivant est enregistré plusieurs fois (entre 30 et 4 000 fois par jour selon le système) sur le serveur du contrôleur de domaine:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Cet événement est légèrement différent de tous les autres que j'ai trouvés au cours de la recherche, mais j'ai déterminé ce qui suit:

  1. Event ID: 4625. "Un compte n'a pas pu se connecter" .
  2. Logon Type: 3. "Réseau (c'est-à-dire connexion au dossier partagé sur cet ordinateur depuis un autre endroit du réseau)" .
  3. Security ID: NULL SID. "Un compte valide n'a pas été identifié" .
  4. Sub Status: 0xC0000064. "Le nom d'utilisateur n'existe pas" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. Local Security Authority Subsystem Service (LSASS), est un processus dans les systèmes d'exploitation Microsoft Windows qui est responsable de l'application de la politique de sécurité sur le système. Il vérifie les utilisateurs se connectant à un ordinateur ou un serveur Windows, gère les modifications de mot de passe et crée des jetons d'accès. Il écrit également dans le journal de sécurité de Windows.
  6. Workstation Name: SERVERNAME. La demande d'authentification est soumise par ou via le contrôleur de domaine lui-même.

Similitudes des systèmes concernés:

  1. Système d'exploitation serveur: Windows Small Business Server 2011 ou Windows Server 2012 R2 Essentials
  2. Système d'exploitation de bureau: Windows 7 Professionnel (généralement)

Différences entre les systèmes concernés:

  1. Antivirus
  2. Filtrage Internet intégré à Active Directory
  3. Connexions mises en cache sur le bureau
  4. Rôles (Exchange, sauvegarde, etc.)

Certaines choses intéressantes que j'ai remarquées dans le système le plus gravement touché:

  1. Nous avons récemment commencé à synchroniser les mots de passe des comptes d'utilisateurs Active Directory et Office 365 via l'intégration Office 365 de Windows Server 2012 R2 Essentials. L'intégration nécessite un mot de passe d'administrateur Office 365 et la stratégie de sécurité à escalader. La synchronisation nécessite que chaque compte d'utilisateur soit affecté au compte en ligne Microsoft correspondant, ce qui nécessite que le mot de passe du compte soit modifié lors de la prochaine connexion. Nous avons également ajouté leur domaine de messagerie principal en tant que suffixe UPN dans les domaines et approbations Active Directory et changé l'UPN de tous les comptes d'utilisateurs en leur domaine de messagerie. En effet, cela leur a permis de se connecter au domaine et à Office 365 en utilisant leur adresse e-mail et leur mot de passe. Cependant, depuis ce temps, le nombre d'événements enregistrés par jour est passé de ~ 900 à ~ 3 900. Remarque: aucun des comptes d'utilisateurs administratifs ou basés sur le travail (sauvegarde, scanner, etc.) n'a été modifié et aucun utilisateur n'a de problème pour accéder à aucune partie du système.
  2. La plupart des événements semblent être enregistrés à intervalles réguliers, généralement toutes les 30 ou 60 minutes, à l'exception de ~ 09: 00, heure à laquelle les utilisateurs arrivent au travail: 2015/07/02 18:55
    2015/07/02 19:25
    2015/07/02 19:54
    2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07/03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03 02:55
    2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08:49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015/07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13
    2015/07/03 09:25
    2015/07/03 10:24
    2015/07/03 11:25

  3. L'événement suivant est enregistré sur le serveur de services de bureau terminal/distant, bien que loin du nombre de fois:

    An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       %terminalServerHostname%
    Account Domain:     %NetBIOSDomainName%

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   %terminalServerHostname%
    Source Network Address: %terminalServerIPv6Address%
    Source Port:        %randomHighNumber%

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Donc, en résumé, cela semble définitivement lié à l'accès au réseau à partir d'ordinateurs de bureau utilisant des comptes d'utilisateurs personnels, mais je ne vois pas comment.

Mise à jour 2015/08/25 08:48:

Dans le système le plus gravement touché, j'ai fait ce qui suit pour isoler le problème et après chaque annulation du changement:

  1. Arrêtez le serveur de services de bureau distant/terminal et les ouvertures de session génériques ayant échoué ont continué.
  2. Le serveur de contrôleur de domaine a été déconnecté du réseau et les ouvertures de session génériques ayant échoué se sont poursuivies .
  3. Redémarrage du serveur en mode sans échec sans réseau et les ouvertures de session génériques ayant échoué n'ont pas continué.
  4. Arrêt et désactivation de tous les services "inutiles" (agent de surveillance, sauvegarde, intégration du filtrage réseau, TeamViewer, antivirus, etc.) et les ouvertures de session génériques ayant échoué se sont poursuivies .
  5. Services Windows Server Essentials arrêtés et désactivés (WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc et WseNtfSvc ) et les ouvertures de session génériques ayant échoué n'ont pas continué.
  6. Finalement, arrêté et désactivé le service de gestion Windows Server Essentials (WseMgmtSvc) et les ouvertures de session génériques ayant échoué n'ont pas continué.

J'ai revérifié que le service de gestion Windows Server Essentials (WseMgmtSvc) est responsable de ces ouvertures de session génériques en les désactivant pendant quelques jours et il n'y a pas eu de connexions en échec génériques et en les activant pendant quelques jours et là étaient des milliers de connexions génériques échouées.

Mise à jour 2015/10/08 09:06:

Le 07/10/2015 à 16:42, j'ai trouvé la tâche planifiée suivante:

  • Nom: "Évaluations des alertes"
  • Emplacement: "\ Microsoft\Windows\Windows Server Essentials"
  • Auteur: "Microsoft Corporation"
  • Description: "Cette tâche évalue périodiquement l'intégrité de l'ordinateur."
  • Compte: "SYSTEM"
  • Déclencheurs: "À 08:54 le 28/10/2014 - Après le déclenchement, répétez toutes les 30 minutes indéfiniment"
  • Actions: "Démarrez un programme: C:\Windows\System32\Essentials\RunTask.exe /asm:"C:\Windows\Microsoft.Net\Assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" " /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask/method: EvaluateAlertsTaskAction/task: "Alert Evaluations" "

Ce délai correspond presque exactement au comportement ci-dessus, je l'ai donc désactivé pour voir s'il affecte le problème.

Le 08/10/2015 à 08:57, j'ai constaté que seulement 47 de ces ouvertures de session génériques ont été enregistrées depuis à intervalles irréguliers.

Donc, je l'ai encore réduit.

securitywindows-server-2012-r2windows-event-logwindows-sbs-2011audit
10
mythofechelon

Il semble que le problème soit dû à la tâche planifiée "Alert Alert".

1
mythofechelon

Cet événement est généralement causé par des informations d'identification cachées périmées. Essayez ceci à partir du système donnant l'erreur:

À partir d'une invite de commandes, exécutez: psexec -i -s -d cmd.exe
Depuis la nouvelle fenêtre cmd, exécutez: rundll32 keymgr.dll,KRShowKeyMgr

Supprimez tous les éléments qui apparaissent dans la liste des noms d'utilisateur et mots de passe stockés. Redémarrer le PC.

5
zea62