服务器系统日志4625,win2008 r2 成千上万的“审核失败”日志 事件ID 4625

最新推荐文章于 2024-04-16 00:25:34 发布
最新推荐文章于 2024-04-16 00:25:34 发布
阅读量3.1k 收藏
点赞数
文章标签: 服务器系统日志4625

环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核

情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败

百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看

求助:使用netstat -anb查看应用程序和端口,也看不出猫腻,各位牛人帮我解决下,谢谢了

症状

日志名称:          Security

来源:            Microsoft-Windows-Security-Auditing

日期:            2012/12/29 10:57:18

事件 ID:         4625

任务类别:          登录

级别:            信息

关键字:           审核失败

用户:            暂缺

计算机:           DC2.rml.com

描述:

帐户登录失败。

主题:

安全 ID:  NULL SID

帐户名:  -

帐户域:  -

登录 ID:  0x0

登录类型:   3

登录失败的帐户:

安全 ID:  NULL SID

帐户名:  li.yuanyuan

帐户域:  RML

失败信息:

失败原因:  未知用户名或密码错误。

状态:   0xc000006d

子状态:  0xc000006a

进程信息:

调用方进程 ID: 0x0

调用方进程名: -

网络信息:

工作站名: YF-LIGX

源网络地址: 10.0.0.142

源端口:  3670

详细身份验证信息:

登录进程:  NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): -

密钥长度:  0

GaGa小姐姐鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器安全日志显示审核失败,服务器上大量的ID4625审核失败日志
weixin_35286137的博客
08-03 4696
复制内容到剪贴板代码:日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2020/12/9 9:09:01事件 ID: 4625任务类别: 登录级别: 信息关键字: 审核失败用户: 暂缺计算机: hx2017描述:帐户登录失败。主题:安全 ID: SYSTEM帐户名: HX2017$帐户域: ...
Windows安全日志中,大量的事件ID4625
weixin_30268921的博客
07-10 8159
最近偶然发现Windows安全日志Win10_64位)中有大量的网络登录失败记录(事件ID4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。 尝试操作2:编写一个powershell脚本,用来阻止外网IP----->这...
windows安全日志事件ID4625错误
05-06
详细讲解windows安全日志事件ID4625错误
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 672
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
服务器系统日志4625,事件4625窗口安全审核无法登录 . 失败原因:未知用户名或密码错误...
weixin_28888459的博客
08-12 6336
我有Windows服务器2012 R2天蓝色虚拟实例,并且很少有端口打开,即(80,443,RDC) . 我在安全性部分中观察了以下日志Windows事件查看器 .事件4625Microsoft Windows安全审核-------日志描述开始帐户无法登录 .学科:安全ID:NULL SID用户名: -帐户域名: -登录ID:0x0登录类型:3登录失败的帐户:安全ID:NULL SID帐户名称...
Win 运维 | Windows Server 系统事件日志浅析与日志审计实践
最新发布
WeiyiGeek 唯一极客IT知识分享
04-16 1459
首先,由于企业网络安全等级保护要求以及安全运维工作的需求,企业安全运维人员需要了解企业内各业务系统的安全事件,以便及时发现并处理安全事件。当下在企业中仍有占有一定量的业务运行在 Windows Server 操作系统中,因此了解 Windows 事件日志对于企业安全运维人员来说是十分必要的。
详细分析Windows安全日志事件ID 4625:一个帐户登录失败
阿斌(Ben)的博客
10-17 3269
原文地址: https://blog.csdn.net/lygzscnt12/article/details/79495361?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
服务器日志4625登录验证失败
chengg0769 平淡无奇见真知
02-07 2261
最近云服务器出现这个日志错误,查了资料是有外部尝试不断登录。设置安全组合防火墙都不起作用。 找到一篇文章找下图设置解决问题 也可以用IP安全策略屏蔽到135,139,445端口。 ...
Winserver 2008事件日志-事件ID详解
热门推荐
Jason_WangYing的博客
03-16 3万+
最近在研究服务器的安全性,发现有未知登录,然后开始研究,当然第一步是需要读懂事件日志的,winserver上的事件是按照事件ID来标示的。   审计目录服务访问   4934 - Active Directory 对象的属性被复制   4935 -复制失败开始   4936 -复制失败结束   5136 -目录服务对象已修改   5137 -目录服务对象已创建   5138 -目录服务
计算机安全日志,server 2008 r2安全日志出现大量审核失败事件
weixin_32703763的博客
07-21 1682
日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2015/5/8 14:52:19事件 ID: 4625任务类别: 登录级别: 信息关键字: 审核失败用户: 暂缺计算机:...
WINDOWS server 2008 r2,win2012 r2 服务器安全加固实战
01-10
阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。不要用360了,360安全卫士不支持2008补丁的...
戴尔R740-WIN2008R2驱动.rar
11-02
戴尔R740服务器驱动,适用于2008r2系统驱动。如果是安装系统,则可以把驱动集成到镜像里再安装即可,安装完系统无需再安装驱动,全部都有驱动了。
联想服务器 ThinkServer TS250 win2008 r2 安装亲测
10-21
联想服务器 ThinkServer TS250 win2008 r2 安装亲测,安装过程需要加载阵列驱动,到输入首次密码那里,要耐心等一下,键盘鼠标就有反应了。
win2008 r2 服务器环境配置(FTP/ASP/ASP.Net/PHP)
09-30
Win2008 R2中,可以通过以下步骤配置FTP服务: 1. 打开“服务器管理器”,选择“角色”选项。 2. 在角色列表中,勾选“Web服务器(IIS)”和“文件服务器”。 3. 接下来,选择“FTP发布服务”,并按照向导完成安装...
解决WinServer2012操作系统安装 SQLServer2008R2失败,需要打sxs补丁
08-15
解决WinServer2012操作系统安装 SQLServer2008R2失败,需要打补丁,安装.net3.5,IIS里勾选安装。net
Windows登录日志详解
weixin_33901641的博客
10-07 4500
2019独角兽企业重金招聘Python工程师标准>>> ...
服务器日志出现大量NTLM(NT LAN Manager)攻击
liyichuanZhengzhou的博客
08-30 2046
主题”字段指明本地系统上请求登录的帐户。“网络信息”字段指明远程登录请求来自哪里。“登录类型”字段指明发生的登录的种类。-“密钥长度”指明生成的会话密钥的长度。来源: Microsoft-Windows-Security-Auditing。-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。-“传递服务”指明哪些直接服务参与了此登录请求。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“身份验证信息”字段提供关于此特定登录请求的详细信息。日期: 2023/8/30 20:57:40。
查询指定时间内审核失败事件日志
weixin_34148508的博客
03-30 187
查询指定时间内审核失败事件日志,必须要加namespace,否则无返回 $s = get-date "3/30/2016 13:54:03" $e = get-date "3/30/2016 13:55:03" $stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s) $etime = [...
win2008r2 事件ID1076重启
05-31
事件 ID 1076 表示系统已经正常地关闭,这个事件通常在系统正常关闭后几秒钟内生成。如果你的事件日志中出现了事件 ID 1076,那么很可能是管理员手动执行了关闭操作或者是计划任务执行了关闭操作。如果你的系统在没有管理员干预的情况下自动重启,那么可能会生成事件 ID 6008 或者其他相关事件。你可以在事件查看器中查看系统日志,找到这些事件以获取更多的信息。你还可以查看系统的 minidump 文件以获取更多的故障诊断信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值