Вопрос или проблема
У меня есть сервер, на котором продолжают происходить события неудачной попытки входа (4625). Они происходят примерно каждые 20-30 минут ежедневно. Также, похоже, это в каком-то смысле по расписанию.
Я пытался удалить сохраненные учетные данные. Отключить RDS. Я пытался найти закономерность с помощью Procmon и Wireshark, и в какой-то момент думал, что это может быть связано с сервисами Labtech (ConnectWise Automate), но временное отключение этого не дало результатов.
Учетная запись не смогла войти.
Субъект:
Идентификатор безопасности: SYSTEM
Имя учетной записи: SERVER$
Домен учетной записи: DOMAIN
Идентификатор входа: 0x3E7
Тип входа: 3
Учетная запись, для которой не удался вход:
Идентификатор безопасности: NULL SID
Имя учетной записи:
Домен учетной записи:
Информация о неудаче:
Причина неудачи: Неизвестное имя пользователя или неверный пароль.
Статус: 0xC000006D
Подстатус: 0xC0000064
Информация о процессе:
Идентификатор вызывающего процесса: 0x2f4
Имя вызывающего процесса: C:\Windows\System32\lsass.exe
Сетевая информация:
Имя рабочей станции: SERVER
Адрес источника сети: -
Исходный порт: -
Подробная информация об аутентификации:
Процесс входа: Schannel
Пакет аутентификации: Kerberos
Перемещенные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Как вы упомянули, в этом событии предоставляется очень мало полезной информации. Что мы можем видеть:
- Код ошибки: 0xC0000064 > STATUS_NO_SUCH_USER / учетная запись не существует
- Тип входа: 3 > сеть или RDP с NLA
- Пакет аутентификации: Kerberos
- Имя хоста источника: сам сервер
Вкратце, “что-то” работает локально с неверным именем пользователя и пытается пройти аутентификацию через сеть, используя протокол Kerberos.
Следовательно, единственные “зацепки”, которые я могу вам предложить, это:
- Искать потенциальные события ID 4776 (Проверка учетных данных)
- Проверить журналы DC на наличие странных неудачных событий Kerberos с ID: 4771, 4768
- В Мониторе ресурсов просмотреть разные вкладки и найти процесс, который может открывать несколько запросов локально
- В PerfMon > Сессия трассировки, посмотреть, может ли существующая трассировка сессии программного обеспечения помочь вам
- Что насчет журналов приложений от ConnectWise?
Ответ или решение
Обнаружение и устранение проблемы с ошибками входа в систему 4625
Недавнее увеличение количества событий 4625 с неудачными попытками входа в систему на вашем сервере может вызвать серьёзные опасения в плане безопасности и работоспособности системы. Исходя из предоставленной информации, проблема носит системный характер и, судя по всему, вызвана процессом, который пытается аутентифицироваться локально, но не может найти необходимые учетные данные для доступа к сети.
Общее описание событий 4625
Событие 4625 фиксируется в журнале безопасности Windows и указывает на неудачную попытку входа. В вашем случае следующие характеристики события являются важными:
- Код ошибки: 0xC0000064 (STATUS_NO_SUCH_USER) сообщает о том, что учетная запись не существует.
- Тип входа: 3 (Сеть); это означает, что аутентификация происходит через сеть, возможно, RDP с использованием NLA (Network Level Authentication).
- Пакет аутентификации: Kerberos указывает на то, что при попытке аутентификации используются протоколы Kerberos.
При каждом событии вы видите, что имя учетной записи пустое, а имя домена также отсутствует. Это указывает на то, что какой-то процесс, запущенный локально, пытается осуществить аутентификацию через сеть, но использует некорректные учётные данные.
Направления для дальнейшего анализа
-
Просмотр событий ID 4776: Эти события фиксируют валидацию учетных данных при помощи служб контроля доступа Windows. Проверьте, есть ли какие-либо совпадения с вашим событием 4625.
-
Проверка журналов контроллера домена: Ищите подозрительные события Kerberos со следующими ID:
- 4768 — Запрос на билет (TGT).
- 4771 — Ошибка валидации билета.
-
Ресурсный монитор: Используйте данный инструмент, чтобы найти процессы, которые могут открывать множество локальных запросов. Обратите внимание на поведение приложений, выполняемых на сервере.
-
Performance Monitor: Воспользуйтесь функцией трассировки для отслеживания активных сеансов и работы программного обеспечения. Это может дать представление о том, что происходит на сервере во время возникновения ошибок.
-
Журналы приложений ConnectWise: Так как вы упомянули о службах Labtech (ConnectWise Automate), проверьте приложения на наличие ошибок и логов, указывающих на неправильные учетные данные или частые обращения к сети.
Рекомендации по устранению проблемы
-
Анализ учетных записей: Убедитесь, что на сервере нет каких-либо учетных записей, которые могли бы быть настроены неправильно или которые более не существуют в сети.
-
Обновление ПО: Периодически обновляйте программное обеспечение и проверяйте наличие патчей, которые могут устранить известные уязвимости или проблемы.
-
Защита от вторжений: Подумайте о внедрении систем обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подозрительных действий на сети.
-
Проверка сторонних приложений: Если Labtech/ConnectWise Automate не является необходимым для функционирования, временно отключите его и наблюдайте за последствиями, чтобы убедиться, что проблема не в нем.
-
Консультации с безопасностью: В случае, если проблема сохраняется, возможно, стоит проконсультироваться со специалистом по безопасности, чтобы получить более глубокий анализ и совет.
Заключение
Неудачные попытки входа в систему могут указывать на потенциальные угрозы безопасности или неправильные конфигурации на сервере. Следуя вышеуказанным рекомендациям и продолжая расследование, вы сможете диагностировать и устранить коренные причины частых событий 4625. Таким образом, это поможет предотвратить дальнейшие инциденты и обеспечит надёжность вашей инфраструктуры.