イベント4625監査失敗NULL SIDがネットワークログオンに失敗しました

10

3つの個別のシステムでは、ドメインコントローラーサーバーで次のイベントが何度も(システムによっては1日30〜4,000回の間で)ログに記録されます。

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

このイベントは、調査中に見つけた他のイベントとは少し異なりますが、次のことを確認しました。

  1. Event ID: 4625「アカウントはログオンに失敗しました」
  2. Logon Type: 3"ネットワーク(ネットワーク上の他の場所からこのコンピューター上の共有フォルダーへの接続)"
  3. Security ID: NULL SID「有効なアカウントが識別されませんでした」
  4. Sub Status: 0xC0000064「ユーザー名が存在しません」
  5. Caller Process Name: C:\Windows\System32\lsass.exeローカルセキュリティ機関サブシステムサービス(LSASS)は、Microsoft Windowsオペレーティングシステムのプロセスで、システムにセキュリティポリシーを適用します。Windowsコンピューターまたはサーバーにログオンしているユーザーを確認し、パスワードの変更を処理し、アクセストークンを作成します。また、Windowsセキュリティログにも書き込みます。
  6. Workstation Name: SERVERNAME。認証要求がドメインコントローラ自体によって、またはドメインコントローラ自体を介して送信されています。

影響を受けるシステムの類似点:

  1. サーバーオペレーティングシステム:Windows Small Business Server 2011またはWindows Server 2012 R2 Essentials
  2. デスクトップオペレーティングシステム:Windows 7 Professional(一般的に)

影響を受けるシステムの違い:

  1. アンチウイルス
  2. Active Directory統合インターネットフィルタリング
  3. デスクトップキャッシュログオン
  4. 役割(Exchange、バックアップなど)

最も深刻な影響を受けたシステムで私が気付いたいくつかの興味深いこと:

  1. 最近、Windows Server 2012 R2 EssentialsのOffice 365統合を介して、Active DirectoryとOffice 365ユーザーアカウントのパスワードの同期を開始しました。統合には、Office 365管理者のパスワードとセキュリティポリシーのエスカレーションが必要です。同期では、各ユーザーアカウントを対応するMicrosoftオンラインアカウントに割り当てる必要があります。これには、次回のログオン時にアカウントのパスワードを変更する必要があります。また、Active Directoryドメインと信頼関係のプライマリメールドメインをUPNサフィックスとして追加し、すべてのユーザーアカウントのUPNをメールドメインに変更しました。事実上、これにより、ユーザーは自分の電子メールアドレスとパスワードを使用してドメインとOffice 365にログオンできました。ただし、これを行うと、1日あたりに記録されるイベントの数が〜900から〜3,900に増加しました。注意:
  2. イベントの大部分は、ユーザーが仕事に到着する〜09:00を除いて、通常30分または60分ごとに定期的に記録されるようです:2015/07/02 18:55
    2015/07/02 19:25
    2015 / 07/02 19:54
    2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07夜12時25分/ 03
    2015年7月3日1時24
    2015年7月3日1時55分
    2015年7月3日午前2時24分
    2015年7月3日午前2時55分
    2015年7月3日午前3時55分
    2015年7月3日04:55
    2015/07/03 05:54 2015/07/03 06:25
    2015/07/03
    07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03 09:03
    2015/07/03 09:06
    2015 / 07/03 09:08
    2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03 09:17
    2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25

  3. 次のイベントは、ターミナル/リモートデスクトップサービスサーバーに記録されますが、何回もアクセスできません。

    An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       %terminalServerHostname%
    Account Domain:     %NetBIOSDomainName%

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   %terminalServerHostname%
    Source Network Address: %terminalServerIPv6Address%
    Source Port:        %randomHighNumber%

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

つまり、要約すると、スタッフのユーザーアカウントを使用したデスクトップコンピューターからのネットワークアクセスに関連しているように見えますが、その方法はわかりません。

アップデート2015/08/25 08:48:

最も深刻な影響を受けたシステムでは、問題を特定するために以下を実行し、それぞれ変更を元に戻しました。

  1. ターミナル/リモートデスクトップサービスサーバーをシャットダウンすると、一般的な失敗したログオン続行されました。
  2. ドメインコントローラサーバーをネットワークから切断しましたが、一般的な失敗したログオン続行されました。
  3. ネットワークを使用せずにサーバーをセーフモードで再起動しましたが、一般的な失敗したログオン続行されませんでした
  4. すべての「不要な」サービス(監視エージェント、バックアップ、ネットワークフィルタリング統合、TeamViewer、アンチウイルスなど)を停止して無効にし、一般的な失敗したログオン続行されました。
  5. 停止して無効Windows Serverのエッセンシャルサービス(WseComputerBackupSvcWseEmailSvcWseHealthSvcWseMediaSvcWseMgmtSvc、及びWseNtfSvc)と一般的なログオンの失敗はなかった続けます。
  6. 最終的に、Windows Server Essentials管理サービス(WseMgmtSvc)を停止して無効にし、一般的な失敗したログオン続行されませんでした

Windows Server Essentials管理サービス(WseMgmtSvc)が数日間無効にしてこれらの一般的な失敗したログオンを担当していて、一般的な失敗したログオンがなく、数日間有効にしていて、何千もの一般的な失敗したログオンがあることを再確認しました。

2015/10/08 09:06更新:

2015/10/07 16:42に、次のスケジュールされたタスクを見つけました。

  • 名前:「アラート評価」
  • 場所:「\ Microsoft \ Windows \ Windows Server Essentials」
  • 著者:「マイクロソフト株式会社」
  • 説明:「このタスクは定期的にコンピュータの状態を評価します。」
  • アカウント:「SYSTEM」
  • トリガー:「2014年10月28日08:54-トリガー後、30分ごとに無期限に繰り返す」
  • アクション:「プログラムを起動します:C:\ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll " /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method:EvaluateAlertsTaskAction / task: "アラート評価" "

この時間枠は上記の動作とほぼ正確に一致するため、問題に影響があるかどうかを確認するために無効にしました。

2015/10/08の08:57に、不規則な間隔でログに記録されたこれらの一般的な失敗したログオンの47のみが見つかりました。

そこで、さらに絞り込みました。

security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 
ミトフェシュロン
ソース
win7マシンのセットアップにはどの方法を使用しましたか?
奇妙な歩行者
@strange walker影響を受ける3つの環境のそれぞれで、初期PCのバッチが次のようにセットアップされた可能性があります。単一のPCが構成され(ドライバー、ソフトウェアなど)、PCのイメージが作成され、残りのPCは構成されたイメージを使用してイメージ化され、次に各PCの名前が変更され、コネクタウィザードを介してドメインに追加されました。
mythofechelon 2015
正直なところ、これらのイベントは無視します。Windowsは無数のセキュリティイベントを作成し、この特定のイベントは間違いなく有害ではありません。
ラッキールーク
@Lucky Luke残念ながら、私たちの監視システムは失敗したログオンイベントを区別できないため、実際の問題を見逃した場合にチェックのしきい値を実際に上げることはできません。
mythofechelon
1
@Lucky Luke検討中ですが、しばらくの間は根本的な原因が解決されないため、残念ながらこれに対する回答が必要です。
mythofechelon

回答:

5

このイベントは通常、古くなった非表示の資格情報が原因で発生します。エラーが発生したシステムからこれを試してください:

コマンドプロンプトpsexec -i -s -d cmd.exe
から:新しいコマンド ウィンドウから: rundll32 keymgr.dll,KRShowKeyMgr

保存されているユーザー名とパスワードのリストに表示されている項目をすべて削除します。コンピュータを再起動します。

zea62
ソース
エントリーはありません。また、Credential Managerと同じではありませんか?
mythofechelon 2015年
@mythofechelon-はい、技術的には「資格情報マネージャー」ですが、資格情報マネージャーはユーザーごとに資格情報を保存します。psexecを使用してSYSTEM cmdウィンドウを開き、資格情報マネージャーを実行すると、資格情報マネージャーがローカルコンピューターアカウントであるSYSTEMユーザーとして実行されます。
トーマス
1

この問題は、スケジュールされたタスク「アラート評価」が原因で発生したようです。

ミトフェシュロン
ソース
それが原因だとはどういう意味ですか?そのタスクは何をしていますか?エラーが発生していたのは何が問題でしたか?
Ashley
まあ、私の診断を読んだら、タイムフレームが一致し、それを無効にすることで問題が解決したことがわかります。
mythofechelon
3
いいえ、問題は解決しませんでした-問題を隠しました。
NickG 2018年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.