windows2008 安全日志出现大量帐号登录失败的解决办法

最新推荐文章于 2025-10-20 11:07:25 发布
原创 最新推荐文章于 2025-10-20 11:07:25 发布 · 5w 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全

本文记录了一次解决大量账号登录失败日志的问题经历,通过关闭445端口最终解决了问题。

最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。
信息内容
`

帐户登录失败。

主题:
    安全 ID:      SYSTEM
    帐户名:        XXX-XXXXX$
    帐户域:        WORKGROUP
    登录 ID:      0x3e7

登录类型:           3

登录失败的帐户:
    安全 ID:      NULL SID
    帐户名:        Administrator
    帐户域:        WIN-V5Q5MF4M6NE

失败信息:
    失败原因:       未知用户名或密码错误。
    状态:         0xc000006d
    子状态:        0xc000006a

进程信息:
    调用方进程 ID:   0x318
    调用方进程名: C:\Windows\System32\svchost.exe

网络信息:
    工作站名:   XXX-XXXXX
    源网络地址:  -
    源端口:        -

详细身份验证信息:
    登录进程:       Advapi  
    身份验证数据包:    Negotiate
    传递服务:   -
    数据包名(仅限 NTLM):  -
    密钥长度:       0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0

`
找了很多资料都未能解决。
1、修改远程端口,没解决。
2、把端口限制登录IP,没解决。

看到有网友说,把密码加强,一般情况下是很难爆破的。但自己心里还是悬吊吊的,就像喉咙有根刺,一直哽在那里。

最后看到一个文档,关闭139和445端口。
445端口:
SMB(Server Message Block)
Windows协议族,用于文件和打印共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。

感觉没用,就尝试关闭了,死马当活马医了。
结果还真是,问题在关闭445端口后解决了。
关闭dfs端口

玄机靶场009-第四章-windows日志分析
WonderL博客
06-09 962
服务器场景操作系统 Windows7服务器账号密码:winlog/winlog123连接端口为:ip:3389按照题目提示可以根据系统功能分析,或桌面工具进行辅助分析注意:远控软件内IP为虚拟IP,如在进行进程中没有找到相关外连,应该是由于连接超时造成的断开了,重启环境服务器或软件即可继续对外发起请求,请见谅注意:题目中shell如需在本地分析,提前关闭杀毒软件,会被杀掉,非免杀注意:winlog用户在操作关于系统权限功能时,一定要使用管理员权限打开工具再去执行。
服务器日志出现大量NTLM(NT LAN Manager)攻击
liyichuanZhengzhou的博客
08-30 4436
主题”字段指明本地系统上请求登录的帐户。“网络信息”字段指明远程登录请求来自哪里。“登录类型”字段指明发生的登录的种类。-“密钥长度”指明生成的会话密钥的长度。来源: Microsoft-Windows-Security-Auditing。-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。-“传递服务”指明哪些直接服务参与了此登录请求。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“身份验证信息”字段提供关于此特定登录请求的详细信息。日期: 2023/8/30 20:57:40。
组策略查看login记录_Windows系统日志查看管理
weixin_39663258的博客
01-17 2030
Windows系统日志简介Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。解决应急事件时,用户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。Windows事件日志文件实...
windows应急响应实战-01-windows日志
最新发布
WonderfulUUZ的博客
10-20 1194
Windows日志查看与分析摘要 Windows系统日志主要存储在C:\Windows\System32\winevt\Logs目录下,包含应用程序、系统和安全三类日志。安全日志(Security.evtx)记录用户验证和系统操作,对安全分析尤为重要。 查看日志的常用方法: 运行eventvwr命令 通过计算机管理控制台 使用事件查看器工具 主要日志类型: 系统日志:记录系统组件和驱动程序活动 安全日志:记录登录/注销、权限变更等安全事件 应用程序日志:记录程序运行错误 安全日志关键事件ID: 4720:创
服务器出现很多非法尝试登陆时间
kitt15的博客
04-17 5778
最近服务器经常被挂马,删除了又重新新建了,设置了一些权限都没法阻止,即使安装了安全狗的无法阻止。至今仍未发现问题根源。在解决问题的过程中黯然发现出现了很多非法尝试登陆,即使设置了“账户锁定策略”以及安全狗防止暴力破解一样无法解决,非法尝试登陆依然根据每分钟6次的规律一直尝试,我立马改了用户名跟密码,但并不阻止这问题。问题如图:
IIS攻击与日志
天奇居
11-26 4388
 IIS攻击与日志不管在操作系统上进行了多么精心的配置,不管网络的安全根基打的多么的好,运行其上的脆弱的应用程序总是能轻松的将它们化为乌有。INTERNET信息服务(IIS)是WINDOWS 2000服务器上应用最广泛的服务,作为微软的主流WEB服务器,IIS
服务器系统日志4625,win2008 r2 成千上万的“审核失败”日志 事件ID 4625
weixin_34214135的博客
08-12 3898
环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看...
Windows 安全事件日记中账户登录失败问题处理
qyhua的专栏
09-24 2815
解决 Windows 安全事件日记中账户登录失败问题处理
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2311
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
windows日志总结
ordar123的博客
06-09 8723
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
33、Windows Server 2008 审计全解析
sugar的博客
06-27 84
本文全面解析了 Windows Server 2008 中的审计功能,包括可审计的事件类型、审计策略的配置方法、对象访问审计的设置步骤以及审计报告的查看方式。同时,文章还探讨了不同审计策略的优缺点和适用场景,并提供了审计流程图和注意事项,帮助管理员合理配置审计以保障系统安全
Windows安全基础-基线配置
CC210231的博客
04-19 1万+
Windows安全基础学习笔记第5篇:基线配置
‘svchost.exe-应用程序错误 0xc0000409’客户端无法登陆终端服务器之解决方法
weixin_34281537的博客
07-10 365
‘svchost.exe-应用程序错误 0xc0000409’客户端无法登陆终端服务器之解决方法! 昨天上午10点左右,公司突然停电,同事们都在不断的抱怨自己的文档没有保存。在此提醒大家编辑文档的时候一定要习惯性的保存文档,快捷方式是ctrl+s。我作为公司网络整体维护人员当然最担心的是公司的服务器,大家都知道服务器在突然断电的时候很容易出现这样那样的问题,...
服务器事件查看器出现 'NT AUTHORITY\SYSTEM' 登录失败。 [客户端: <local machine> 问题解决方案...
weixin_33963594的博客
02-12 2546
MSSQLSERVER 出现大批量审核失败错误  点击查看原因是: 用户 'NT AUTHORITY\SYSTEM' 登录失败。 [客户端: &lt;local machine&gt;]   解决: 有可能是Reporting Services服务的问题,具体步骤: 开始菜单-》Microsoft SQL Server 2005-》配置工具-》SQL Server Configurat...
详细分析Windows安全日志事件ID 4625:一个帐户登录失败
热门推荐
0x12的专栏
03-09 5万+
每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。主题:标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。登录类型:这是一个有价值的信息,因为它告诉你用户登录:登录类型 描述 2 互动(键盘和屏幕的登录系统) 3 网络(即连接到共享文件夹从其他地方在这台电脑上网络) 4 批处理(即计划任...
计算机的安全标识符sid丢失,Win10电脑系统用户的安全标识符SID怎么查找的方法...
weixin_33971463的博客
07-21 2130
Win10电脑系统用户的安全标识符SID怎么查找的方法,SID安全标识符是一种唯一代码,可帮助识别Win10操作系统中的任何用户或组和计算机帐户。它们是在创建用户帐户后立即创建的,并且是唯一标识符,在公共计算机上没有两个SID相同。它也被称为安全ID。此唯一标识在操作系统内部使用,而不是我们设置的显示名称,如Personal,Dad或其他任何内容。这也意味着,即使您更改了显示名称,也不会影响为该...
Windows登录日志详解
weixin_33901641的博客
10-07 5491
2019独角兽企业重金招聘Python工程师标准>>> ...
windows NT事件日志说明
yagami的专栏
12-01 3887
windows NT事件日志说明原作者:NtWak0翻译整理:补天-苏樱概要以下内容是关于WINDOWS NT事件日志的非常好的、深入的文章。 日志通常用审计机或某种工具来管理。这篇文章也包含:当一个用户被Locked out时,在事件日志里报告的SID有点小问题。详细资料日志类型:这里有三种类型的NT事件日志:系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应
服务器日志显示system特殊登陆,win2008服务器安全问题,日志里怎么这么多登录事件?...
weixin_42502165的博客
08-05 3988
安装了一台windows2008 R2 64位的服务器,之前没在意,最近在访问高峰期间会卡,而且日志里出现了很多登陆事件,每隔10分钟会登陆一次,这个图是登录记录,诡异的是貌似都是本机上的登陆,找不到来源IP,下面有每次登陆的详细信息,请大牛们给看看到底是怎么回事?跪谢!每次登陆的三个事件详细信息:事件一:试图使用显式凭据登录。主题:安全 ID: SYSTEM帐户名: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值