windows2008 安全日志出现大量帐号登录失败的解决办法

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17202783/article/details/47335879

最近几天,通过事件查看器发现了大量的帐号登录失败的日志,搞得焦头烂额的。
信息内容
`

帐户登录失败。

主题:
    安全 ID:      SYSTEM
    帐户名:        XXX-XXXXX$
    帐户域:        WORKGROUP
    登录 ID:      0x3e7

登录类型:           3

登录失败的帐户:
    安全 ID:      NULL SID
    帐户名:        Administrator
    帐户域:        WIN-V5Q5MF4M6NE

失败信息:
    失败原因:       未知用户名或密码错误。
    状态:         0xc000006d
    子状态:        0xc000006a

进程信息:
    调用方进程 ID:   0x318
    调用方进程名: C:\Windows\System32\svchost.exe

网络信息:
    工作站名:   XXX-XXXXX
    源网络地址:  -
    源端口:        -

详细身份验证信息:
    登录进程:       Advapi  
    身份验证数据包:    Negotiate
    传递服务:   -
    数据包名(仅限 NTLM):  -
    密钥长度:       0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0

`
找了很多资料都未能解决。
1、修改远程端口,没解决。
2、把端口限制登录IP,没解决。

看到有网友说,把密码加强,一般情况下是很难爆破的。但自己心里还是悬吊吊的,就像喉咙有根刺,一直哽在那里。

最后看到一个文档,关闭139和445端口。
445端口:
SMB(Server Message Block)
Windows协议族,用于文件和打印共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。

感觉没用,就尝试关闭了,死马当活马医了。
结果还真是,问题在关闭445端口后解决了。
关闭dfs端口

展开阅读全文

没有更多推荐了,返回首页