ид безопасности null sid имя учетной записи домен учетной записи код входа 0x0
Как узнать что/что пытается авторизироваться?
Всем привет! Вин сервер 2012, используется как IIS вебсервер, поднято ФТП, СУБД MS SQl. Сегодня заметил в журнале виндовс (безопасность) вот такие записи:
и эти события сыпятся каждые несколько секунд, меняется только: Имя учетной записи: USER2, sklad, Admin и другие.
Что это такое? На брут похоже. Причем началось 3 дня назад.
Всем спасибо. Брутили RDP, в штатном фаерволе в правилах касаемых рдп и фтп в вкладке «область» указал свой IP.
После этого все прекратилось.
Поставил еще эту единственную в своем роде бесплатную программку:
IPBan Monitors failed security audit in Windows Event Viewer and bans ip addresses using netsh. Wide range of customization and unlimited ip address ban count
Features include:
– Unlimited number of ip addresses to ban
– Duration to ban ip address
– Number of failed login attempts before ban
– Whitelist of comma separated ip addresses or regex to never ban
– Blacklist of comma separated ip addresses or regex to always ban
– Custom prefix to windows firewall rules
– Custom keywords, XPath and Regex to parse event viewer logs for failed login attempts
– Refreshes config so no need to restart the service when you change something
– Highly configurable, ban anything that comes through Windows Event Viewer
– A GREAT and FREE (if you install it yourself) alternative to RdpGuard or Syspeace
– Contains configuration to block Remote Desktop attempts, Microsoft SQL Server login attempts and MySQL Server login attempts by default
Ид безопасности null sid имя учетной записи домен учетной записи код входа 0x0
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Стали часто сыпаться такие ошибки. Судя по логам возможно проблемы согласования с Kerberos. Как провести поиск неисправности? Или как лог сделать более детальным?
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 30.10.2012 8:25:03
Код события: 4625
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Merlin.okg.local
Описание:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Administrator
Домен учетной записи: OKG
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
Все ответы
Связано это может быть, например, с рассинхронизацией времени. Смотрите в журнал событий системы.
Не помогло. В логах системы ничего не было, включил логи kerberos, появилось 2 ошибки:
Только почему там пусто имя клиента, время клиента и т.д. Не понятно от кого идет запрос?
Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата: 31.10.2012 14:21:29
Код события: 3
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Merlin.okg.local
Описание:
Получено сообщение об ошибке Kerberos:
в сеансе входа в систему
Время клиента:
Время сервера: 10:21:29.0000 10/31/2012 Z
Код ошибки: 0xd KDC_ERR_BADOPTION
Расширенная ошибка: 0xc00000bb KLIN(0)
Сфера клиента:
Имя клиента:
Сфера сервера: OKG.LOCAL
Имя сервера: merlin$@OKG.LOCAL
Конечное имя: merlin$@OKG.LOCAL@OKG.LOCAL
Текст ошибки:
Файл: 9
Строка: f09
Данные ошибки в данных записи.
Xml события:
3
0
2
0
0
0x80000000000000
431749
System
Merlin.okg.local
10:21:29.0000 10/31/2012 Z
0xd
KDC_ERR_BADOPTION
0xc00000bb KLIN(0)
OKG.LOCAL
merlin$@OKG.LOCAL
merlin$@OKG.LOCAL@OKG.LOCAL
9
f09
3015A103020103A20E040CBB0000C00000000003000000
1. Проверить согласованность времени
Найдено существующее SPN.
Вот эти точно лишние у пользователя Administrator
ldap/Merlin.okg.local:2171
ldap/MERLIN:2171
E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/Merlin.okg.local:2171
E3514235-4B06-11D1-AB04-00C04FC2DCD2-ADAM/MERLIN:2171
Переместите их объекту CN=MERLIN,OU=Domain Controllers,DC=okg,DC=local путём редактирования свойства servicePrincipalName.
Если почитать внимательно логи то можно 100% встретить ошибку о задорности имён и указывать она будет на ldap/Merlin.okg.local:2171.
Найдено существующее SPN.
Я нашел пакет Kerberos, после которого появляется ошибка.
Он идет от сетевой карты удаленного сервера(VPN, контроллер нашего домена в другом сайте).
Но на том сервере если смотреть пакеты по всем интерфейсам, не удается отследить какой пакет вызывает передачу через VPN. Например смотрю пакеты на удаленном сервере, активности нет, а на локальном сервере поступает пакет.
Ещё мне не очень понятно, почему порт(в пакете, который вызывает отказ аудита) назначения всегда разный(12577, 26231, 35010, 35006 ). Кому адресован пакет?
Динамический диапозон должен быть открыт между контроллерами.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Коллеги у нас похожая проблема.
Повысили уровень домена с 2003 на 2008 R2.
Клиенты с Windows XP перестали заходить на сервера Windows 2008 R2 (программка клиент-серверная)
Типо подключение идёт по дком. Приложение выдаёт ошибку. в Журнале вот такие записи!
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: fortest
Домен учетной записи: RUSSLAVBANK
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Но с этих же Windows XP я могу спокойно открывать шары на этом сервере и подключаться к RDP.
У нас домен, время на всех ДЦ одинаковое, время на клиентах и сервере тоже одинаковые.
Неизвестный вход на сервер, неизвестно кем
Прошу помощи в разъяснении вопроса:
Windows server 2012 r2
Ежедневно в логах сервера нахожу аудит входа и выхода в систему непонятного мне происхождения, который в 100% случаев (на данный момент времени) имеет длительность не более 1 секунды. Используемая УЗ при этом «Анонимный вход» и процесс входа всегда NtLmSsp.
Иногда отображается рабочая станция, как в случае ниже.(в 90% случаев каждый раз разная)
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x221F8BBC
GUID входа:
Сведения о сети:
Имя рабочей станции: MICSFBSBA02
Сетевой адрес источника: 121.100.17.194
Порт источника: 34197
А иногда ничего.
Вход с учетной записью выполнен успешно.
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи:
Код входа: 0x21FF2F6C
GUID входа:
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: 148.153.38.78
Порт источника: 54306
При этом меня беспокоят исходные IP адреса. 99% случаев это страны, отличные от России. А при их трассировке становится понятно, что это, скорее всего прокси-VPNы.
Что я делал:
1) Изменил стандартный порт 3389
2) Привязал к новому порту разрешения использования «только указанный IP» т.е. мой
3) брандмауэру тоже задал параметны на использования удалённого стола только с моего IP
4) Отключил все УЗ (кроме нужных)
5) Проверил права в групповой политике. никаких дополнительных настроект нет для других или незнакомых мне уз.
6) В группе Администраторов добавил только «себя»
7) В группу удалённых рабочих столов разрешил только «себя»
8) Сменил все пароли УЗ.
Но записи аудита как были-так и продолжают ежедневно быть.
Ид безопасности null sid имя учетной записи домен учетной записи код входа 0x0
Коллеги добрый день.
На одном из серверов появляется данное сообщение:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: fortest
Домен учетной записи: RUSSLAVBANK
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc00002ee
Подсостояние: 0x0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Что мы сделали:
Подняли уровень домена и леса до Windows Server 2008 R2
Мы точно не знаем, связано это с этим или нет. Но после данной операции клиенты на которых установлена Windows XP SP3 (SP2) не могут подключиться к серверу (Windows Server 2008 R2)
Пользователи Windows 7 (Windows Server 2008 \ 2008 R2) могут подключиться.
На сервере нечего не делали, никаких Firewall между клиентом и сервером нет.
Наверное что-то с политикой. Типо подписывания SMB или что-то ещё.
С клиентов Windows XP можем подключиться к этому серверу по RDP и по SMB (видим шары)
Ид безопасности null sid имя учетной записи домен учетной записи код входа 0x0
Вопрос
На одном сервере, так же он используется для сервера терминала, начали постоянно фиксироваться события аудита отказа:
Учетной записи не удалось выполнить вход в систему.
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: SERVER1
Домен учетной записи: kosmo
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
Сведения о сети:
Имя рабочей станции: SERVER1
Сетевой адрес источника: ::1
Порт источника: 55039
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Это событие фиксируется постоянно. Такое ощущение, что брудфорсят. Выход в инет идет через маршрутизатор Cisco. В сеть возможно попасть только через впн anyconnect или ipsec, только после этого возможно подключится по рдп. Прямого доступа нет. Как можно вычислить ip с которого идет предполагаемый подбор? КД в журнале безопасности ни чего не фиксирует. К этому серверу я подключаю только программистов 1С, нештатных. Все учетки у них локальные и не имеют доступа в сеть.