我有Windows服務器2012 R2天青虛擬實例,並且有幾個端口在它上面打開,即(80,443,RDC)。我在安全部分觀察了下面的日誌到Windows事件查看器。事件4625 Windows安全審覈未能登錄。失敗原因:未知的用戶名或密碼錯誤
事件4625:Microsoft Windows安全審覈
-------日誌說明開始
帳戶無法登錄。
主題:
安全ID:NULL SID
帳戶名稱: -
帳戶域: -
登錄ID:爲0x0
登錄類型:3
帳戶針對登錄失敗:
安全ID:NULL SID
帳戶名稱:ALLISON
帳戶域名:
失敗信息:
失敗原因:未知的用戶名或密碼錯誤。
狀態:0xC000006D
子狀態:0xC0000064
進程信息:
調用方進程ID:爲0x0
調用方進程名稱: -
網絡信息:
工作站名稱:
源網絡地址: -
來源端口: -
Deta細設身份驗證信息:
登錄進程:NtLmSsp
身份驗證數據包:NTLM
傳遞服務: -
包名稱(NTLM只): -
密鑰長度:0
產生此事件時登錄請求失敗。它在嘗試訪問的計算機上生成。
「主題」字段指示請求登錄的本地系統上的帳戶。這通常是服務,如服務器服務或本地進程,如Winlogon.exe或Services.exe。
登錄類型字段指示請求的登錄類型。最常見的類型是2(交互式)和3(網絡)。
進程信息字段指示系統上的哪個帳戶和進程請求登錄。
網絡信息字段指示發起遠程登錄請求的位置。工作站名稱並不總是可用的,在某些情況下可能會留空。
身份驗證信息字段提供有關此特定登錄請求的詳細信息。
- 轉換服務指示哪些中間服務已參與此登錄請求。
- 軟件包名稱指示在NTLM協議中使用哪個子協議。
- 密鑰長度指示生成的會話密鑰的長度。如果沒有請求會話密鑰,這將是0。
-------登錄描述端
日誌被連續地在事件查看器生成(每秒3-4請求)和帳戶名總是變化如下面提及。
帳戶針對登錄失敗:
安全ID:NULL SID
帳戶名稱:ATCNSBAYFG帳戶針對登錄失敗:
安全ID:NULL SID
帳戶名稱:SUPPORT帳戶登錄失敗:
安全性ID:NULL SID
帳戶名稱:支持帳戶針對登錄失敗:
安全ID:NULL SID
帳戶名稱:HAYLEY帳戶針對登錄失敗:
安全ID: NULL SID
帳戶名稱:TEST5
更多...
我試過的東西:
1.從azure門戶甚至RDC禁用所有開放的端口。
2.禁用Windows Essentials服務。
3.從Windows調度程序中禁用警報評估任務。
但仍然在事件查看器中生成日誌。這個窗戶是被攻擊的還是其他的東西?以及如何防止這種情況?