|
詳細(xì)信息:---重點(diǎn)紅色標(biāo)注
日志名稱: Security 來源: Microsoft-Windows-Security-Auditing 日期: 2020/7/28 16:47:37 事件 ID: 4625 任務(wù)類別: 登錄 級別: 信息 關(guān)鍵字: 審核失敗 用戶: 暫缺 計算機(jī): VM82 描述: 帳戶登錄失敗,。 使用者: 安全 ID: NULL SID 帳戶名: - 帳戶域: - 登錄 ID: 0x0 登錄類型: 3 登錄失敗的帳戶: 安全 ID: NULL SID 帳戶名: ADMINISTRATOR 帳戶域: 失敗信息: 失敗原因: 未知用戶名或密碼錯誤。 狀態(tài): 0xC000006D 子狀態(tài): 0xC000006A 進(jìn)程信息: 調(diào)用方進(jìn)程 ID: 0x0 調(diào)用方進(jìn)程名: - 網(wǎng)絡(luò)信息: 工作站名: 源網(wǎng)絡(luò)地址: - 源端口: - 詳細(xì)身份驗(yàn)證信息: 登錄進(jìn)程: NtLmSsp 身份驗(yàn)證數(shù)據(jù)包: NTLM 傳遞服務(wù): - 數(shù)據(jù)包名(僅限 NTLM): - 密鑰長度: 0 登錄請求失敗時在嘗試訪問的計算機(jī)上生成此事件,。 “使用者”字段指明本地系統(tǒng)上請求登錄的帳戶,。這通常是一個服務(wù)(例如 Server 服務(wù))或本地進(jìn)程(例如 Winlogon.exe 或 Services.exe),。 “登錄類型”字段指明發(fā)生的登錄的種類,。最常見的類型是 2 (交互式)和 3 (網(wǎng)絡(luò))。 “進(jìn)程信息”字段表明系統(tǒng)上的哪個帳戶和進(jìn)程請求了登錄,。 “網(wǎng)絡(luò)信息”字段指明遠(yuǎn)程登錄請求來自哪里,。“工作站名”并非總是可用,,而且在某些情況下可能會留為空白,。 “身份驗(yàn)證信息”字段提供關(guān)于此特定登錄請求的詳細(xì)信息。 -“傳遞服務(wù)”指明哪些直接服務(wù)參與了此登錄請求,。 -“數(shù)據(jù)包名”指明在 NTLM 協(xié)議之間使用了哪些子協(xié)議,。 -“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰,,則此字段為 0,。 事件 Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2020-07-28T08:47:37.537784300Z" /> <EventRecordID>7942649</EventRecordID> <Correlation /> <Execution ProcessID="608" ThreadID="5152" /> <Channel>Security</Channel> <Computer>VM82</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">ADMINISTRATOR</Data> <Data Name="TargetDomainName"> </Data> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc000006a</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp </Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName"> </Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> 解決方案:cmd-->gpedit.msc-->計算機(jī)配置-->Windows設(shè)置-->安全設(shè)置-->本地策略-->安全選項,進(jìn)行NTLM策略控制,,徹底阻止LM響應(yīng)
|
|
|
