Evento 4625 Error de auditoría NULL SID falló al iniciar sesión en la red

10

En 3 sistemas separados, el siguiente evento se registra muchas veces (entre 30 y 4.000 veces al día, dependiendo del sistema) en el servidor del controlador de dominio:

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

Este evento es ligeramente diferente a todos los demás que he encontrado durante la investigación, pero he determinado lo siguiente:

  1. Event ID: 4625. "Una cuenta no pudo iniciar sesión" .
  2. Logon Type: 3. "Red (es decir, conexión a carpeta compartida en esta computadora desde otro lugar de la red)" .
  3. Security ID: NULL SID. "No se identificó una cuenta válida" .
  4. Sub Status: 0xC0000064. "El nombre de usuario no existe" .
  5. Caller Process Name: C:\Windows\System32\lsass.exe. El Servicio de Subsistema de Autoridad de Seguridad Local (LSASS), es un proceso en los sistemas operativos Microsoft Windows que es responsable de hacer cumplir la política de seguridad en el sistema. Verifica que los usuarios inicien sesión en una computadora o servidor Windows, maneja los cambios de contraseña y crea tokens de acceso. También escribe en el registro de seguridad de Windows.
  6. Workstation Name: SERVERNAME. La solicitud de autenticación se envía a través del controlador de dominio.

Similitudes de los sistemas afectados:

  1. Sistema operativo del servidor: Windows Small Business Server 2011 o Windows Server 2012 R2 Essentials
  2. Sistema operativo de escritorio: Windows 7 Professional (generalmente)

Diferencias de los sistemas afectados:

  1. Antivirus
  2. Filtrado de Internet integrado en Active Directory
  3. Inicios de sesión en caché de escritorio
  4. Roles (intercambio, copia de seguridad, etc.)

Algunas cosas interesantes que he notado en el sistema más gravemente afectado:

  1. Recientemente comenzamos a sincronizar las contraseñas de cuentas de usuario de Active Directory y Office 365 a través de la integración de Office 365 de Windows Server 2012 R2 Essentials. La integración requiere una contraseña de administrador de Office 365 y la política de seguridad para ser escalada. La sincronización requiere que cada cuenta de usuario se asigne a la cuenta en línea de Microsoft correspondiente, lo que requiere que se cambie la contraseña de la cuenta en el próximo inicio de sesión. También agregamos su dominio de correo electrónico principal como un sufijo UPN en dominios y fideicomisos de Active Directory y cambiamos el UPN de todas las cuentas de usuario a su dominio de correo electrónico. Efectivamente, esto les permitió iniciar sesión en el dominio y Office 365 utilizando su dirección de correo electrónico y contraseña. Sin embargo, desde que lo hizo, la cantidad de eventos registrados por día aumentó de ~ 900 a ~ 3,900. Nota:
  2. La mayor parte de los eventos parecen registrarse a intervalos regulares, generalmente cada 30 o 60 minutos, excepto ~ 09:00 que es cuando los usuarios llegan al trabajo: 2015/07/02 18:55
    2015/07/02 19:25
    2015 /
    07/02 19:54 2015/07/02 20:25
    2015/07/02 20:54
    2015/07/02 21:25
    2015/07/02 22:24
    2015/07/02 23:25
    2015/07 / 03 00:25
    2015/07/03 01:24
    2015/07/03 01:55
    2015/07/03 02:24
    2015/07/03
    02:55 2015/07/03 03:55
    2015/07/03 04:55
    2015/07/03 05:54
    2015/07/03 06:25
    2015/07/03 07:25
    2015/07/03 08:24
    2015/07/03 08:27
    2015/07/03 08: 49
    2015/07/03 08:52
    2015/07/03 08:54
    2015/07/03 08:56
    2015/07/03 08:57
    2015/07/03 09:00
    2015/07/03 09:01
    2015/07/03
    09:03 2015/07/03 09:06
    2015 /
    07/03 09:08 2015/07/03 09:10
    2015/07/03 09:12
    2015/07/03 09:13
    2015/07/03
    09:17 2015/07/03 09:13 2015/07
    / 03 09:25
    2015/07/03 10:24
    2015/07/03 11:25
  3. El siguiente evento se registra en el servidor de servicios de escritorio remoto / terminal, aunque ni de lejos tantas veces:

    An account failed to log on.
    
    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0x0
    
    Logon Type:         3
    
    Account For Which Logon Failed:
        Security ID:        NULL SID
        Account Name:       %terminalServerHostname%
        Account Domain:     %NetBIOSDomainName%
    
    Failure Information:
        Failure Reason:     Unknown user name or bad password.
        Status:         0xC000006D
        Sub Status:     0xC0000064
    
    Process Information:
        Caller Process ID:  0x0
        Caller Process Name:    -
    
    Network Information:
        Workstation Name:   %terminalServerHostname%
        Source Network Address: %terminalServerIPv6Address%
        Source Port:        %randomHighNumber%
    
    Detailed Authentication Information:
        Logon Process:      NtLmSsp 
        Authentication Package: NTLM
        Transited Services: -
        Package Name (NTLM only):   -
        Key Length:     0
    
    This event is generated when a logon request fails. It is generated on the computer where access was attempted.
    
    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
    
    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
    
    The Process Information fields indicate which account and process on the system requested the logon.
    
    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
    
    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    

Entonces, en resumen, definitivamente parece estar relacionado con el acceso a la red desde computadoras de escritorio utilizando cuentas de usuario del personal, pero no puedo ver cómo.

Actualización 25/08/2015 08:48:

En el sistema más gravemente afectado, hice lo siguiente para aislar el problema y, después de cada uno, revirtió el cambio:

  1. Cierre el servidor de terminal / servicios de escritorio remoto y los inicios de sesión fallidos genéricos qué siguen.
  2. Desconectado el servidor de controlador de dominio de la red y los inicios de sesión fallidos genéricos hizo continuar.
  3. Reinició el servidor en Modo a prueba de errores sin conexión en red y los inicios de sesión genéricos fallidos no continuaron.
  4. Detuvieron y se desactivarán todos los servicios "innecesarios" (Agente de supervisión, copia de seguridad, red de integración de filtrado, TeamViewer, antivirus, etc.) y los inicios de sesión fallidos genéricos qué siguen.
  5. Detuvieron y servicios deshabilitados en Windows Server Essentials ( WseComputerBackupSvc, WseEmailSvc, WseHealthSvc, WseMediaSvc, WseMgmtSvc, y WseNtfSvc) y los inicios de sesión fallidos genéricos no continúan.
  6. Finalmente, detuve e inhabilité el Servicio de administración de Windows Server Essentials ( WseMgmtSvc) y los inicios de sesión genéricos fallidos no continuaron.

He verificado dos veces que el Servicio de administración de Windows Server Essentials ( WseMgmtSvc) es responsable de estos inicios de sesión fallidos genéricos al deshabilitarlo durante unos días y no hubo inicios de sesión genéricos fallidos y habilitarlo durante unos días y hubo miles de inicios de sesión genéricos fallidos .

Actualización 2015/10/08 09:06:

El 07/10/2015 a las 16:42 encontré la siguiente tarea programada:

  • Nombre: "Evaluaciones de alerta"
  • Ubicación: "\ Microsoft \ Windows \ Windows Server Essentials"
  • Autor: "Microsoft Corporation"
  • Descripción: "Esta tarea evalúa periódicamente el estado de la computadora".
  • Cuenta: "SISTEMA"
  • Activadores: "A las 08:54 del 28/10/2014 - Después de activarse, repita cada 30 minutos indefinidamente"
  • Acciones: "Inicie un programa: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:"C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll" /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method: EvaluateAlertsTaskAction / task: "Alert Evaluations" "

Este período de tiempo coincide casi exactamente con el comportamiento anterior, así que lo deshabilité para ver si afecta el problema.

El 08/10/2015 a las 08:57 encontré que solo 47 de estos inicios de sesión fallidos genéricos se registraron desde intervalos irregulares.

Entonces, lo he reducido aún más.

mitofechelon
fuente
¿Qué método usaste para configurar tus máquinas win7?
extraño caminante
@strange walker Es probable que, en cada uno de los 3 entornos afectados, el lote de PC iniciales se haya configurado de la siguiente manera: se configuró una sola PC (controladores, software, etc.), se creó una imagen de la PC, se crearon las PC restantes imágenes usando la imagen configurada, y luego cada PC fue renombrada y agregada al dominio a través del asistente de Conector.
mythofechelon
Para ser honesto, simplemente ignoraría estos eventos. Windows crea una gran cantidad de eventos de seguridad, y este evento en particular definitivamente no es dañino.
Lucky Luke
@Lucky Luke Desafortunadamente, nuestro sistema de monitoreo no puede diferenciar entre los eventos de inicio de sesión fallidos, por lo que realmente no podemos aumentar el umbral de verificación en caso de que perdamos un problema real.
mythofechelon
1
@Lucky Luke Lo estamos considerando, pero eso es un tiempo libre y no resuelve la causa raíz, desafortunadamente, así que todavía necesito una respuesta a esto.
mythofechelon

Respuestas:

5

Este evento generalmente es causado por una credencial oculta obsoleta. Pruebe esto desde el sistema que da el error:

Desde un símbolo del sistema, ejecute: psexec -i -s -d cmd.exe
Desde la nueva ventana de cmd, ejecute: rundll32 keymgr.dll,KRShowKeyMgr

Elimine cualquier elemento que aparezca en la lista de nombres de usuario y contraseñas almacenados. Reinicia la computadora.

zea62
fuente
No hay entradas Además, ¿no es lo mismo que Credential Manager?
mythofechelon
@mythofechelon - Sí, técnicamente ese es el "Credential Manager", pero Credential Manager almacena las credenciales por usuario. El uso de psexec para abrir una ventana cmd de SYSTEM y luego ejecutar Credential Manager ejecuta Credential Manager como usuario de SYSTEM, que es la cuenta de la computadora local.
Thomas
1

Parece que el problema fue causado por la tarea programada "Evaluaciones de alerta".

mitofechelon
fuente
¿Qué quieres decir con que fue causado por eso? ¿Qué está haciendo esa tarea? ¿Qué tenía de malo que ocurrieran los errores?
Ashley
Bueno, si leyeras mis diagnósticos, verías que los plazos coincidían y deshabilitarlo resolvió el problema.
mythofechelon
3
No, no resolvió el problema, lo ocultó.
NickG