服务器安全日志显示审核失败,服务器上大量的ID为4625的审核失败日志

最新推荐文章于 2025-07-19 16:42:15 发布
转载 最新推荐文章于 2025-07-19 16:42:15 发布 · 5.4k 阅读 · 1
文章标签:

#服务器安全日志显示审核失败

服务器在2020年12月9日记录了大量的ID为4625的审核失败日志,事件涉及尝试以'Administrator'账户登录但失败,错误原因为未知用户名或密码错误。这些登录尝试来源于本地系统进程'LogonUI.exe',可能是由于恶意攻击或配置问题导致。

复制内容到剪贴板

代码:日志名称: Security

来源: Microsoft-Windows-Security-Auditing

日期: 2020/12/9 9:09:01

事件 ID: 4625

任务类别: 登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: hx2017

描述:

帐户登录失败。

主题:

安全 ID:        SYSTEM

帐户名:        HX2017$

帐户域:        WORKGROUP

登录 ID:        0x3e7

登录类型:        7

登录失败的帐户:

安全 ID:        NULL SID

帐户名:        Administrator

帐户域:        HX2017

失败信息:

失败原因:        未知用户名或密码错误。

状态:        0xc000006d

子状态:        0xc000006a

进程信息:

调用方进程 ID:        0x1b68

调用方进程名:        C:\Windows\System32\LogonUI.exe

网络信息:

工作站名:        HX2017

源网络地址:        -

源端口:        -

详细身份验证信息:

登录进程:        Advapi

身份验证数据包:        Negotiate

传递服务:        -

数据包名(仅限 NTLM):        -

密钥长度:        0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。

-“传递服务”指明哪些直接服务参与了此登录请求。

-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

事件 Xml:

4625

0

0

12544

0

0x8010000000000000

658182

Security

hx2017

S-1-5-18

HX2017[code]日志名称: Security

来源: Microsoft-Windows-Security-Auditing

日期: 2020/12/9 9:09:01

事件 ID: 4625

任务类别: 登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: hx2017

描述:

帐户登录失败。

主题:

安全 ID:        SYSTEM

帐户名:        HX2017$

帐户域:        WORKGROUP

登录 ID:        0x3e7

登录类型:        7

登录失败的帐户:

安全 ID:        NULL SID

帐户名:        Administrator

帐户域:        HX2017

失败信息:

失败原因:        未知用户名或密码错误。

状态:        0xc000006d

子状态:        0xc000006a

进程信息:

调用方进程 ID:        0x1b68

调用方进程名:        C:\Windows\System32\LogonUI.exe

网络信息:

工作站名:        HX2017

源网络地址:        -

源端口:        -

详细身份验证信息:

登录进程:        Advapi

身份验证数据包:        Negotiate

传递服务:        -

数据包名(仅限 NTLM):        -

密钥长度:        0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。

-“传递服务”指明哪些直接服务参与了此登录请求。

-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

事件 Xml:

4625

0

0

12544

0

0x8010000000000000

658182

Security

hx2017

S-1-5-18

HX2017[        DISCUZ_CODE_0        ]lt;/Data>

WORKGROUP

0x3e7

S-1-0-0

Administrator

HX2017

0xc000006d

%%2313

0xc000006a

7

Advapi

Negotiate

HX2017

-

-

0

0x1b68

C:\Windows\System32\LogonUI.exe

-

-

Windows安全日志分析(事件ID详解)
墨痕诉清风的博客
09-19 2万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
安全日志审计系统服务器,日志审计服务器
weixin_28854171的博客
08-13 2027
日志审计服务器 内容精选换一换本地使用远程桌面连接登录Windows server 2012云服务器,报错:122.112...,服务器频繁掉线,Windows登录进程意外中断。系统资源不足或不可用。服务启动失败。通过VNC方式登录云服务器。单击打开服务管理,选择“管理工具 > 事件查看器 > Windows日志 > 系统 > 筛选当前日志”。事件查看器在“事件级别”负载均...
Windows安全日志中,大量的事件ID4625
weixin_30268921的博客
07-10 8935
最近偶然发现Windows安全日志(Win10_64位)中有大量的网络登录失败记录(事件ID4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络已经不安全了,只能自己想办法尽量保护好自己电脑。 尝试操作1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。 尝试操作2:编写一个powershell脚本,用来阻止外网IP----->这...
windows安全日志事件ID4625错误
05-06
详细讲解windows安全日志事件ID4625错误
高效分析Windows登录失败日志:事件ID 4625实战指南
最新发布
yangchengnanzhan的博客
07-19 1317
介绍Windows安全日志中事件ID 4625(登录失败)的重要性,以及管理员如何利用PowerShell快速分析这些日志
Windows安全日志7关键事件ID分析
ICT系统集成阿祥
09-26 3316
背景Windows日志里的事件分析有助于在系统出现异常时分析出异常原因,利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件,分析这些事件的具体原因,希望对系统运维工程师们有一定的帮助!具体事件ID1、事件ID 1116作用:意为反恶意软件平台检测到恶意软件或其他可能不需要的软件检测源:如:①用户:用户已启动②系统:系统启动③实时:实时组件已启动④IOAV:已启动 IE 下载...
服务器系统日志4625,win2008 r2 成千上万的“审核失败日志 事件ID 4625
weixin_34214135的博客
08-12 3840
环境:域控2008 r2 sp1 客户端 xp sp3 客户端 300台 ,已部署企业安全卫士,打了补丁,组策略中,域控和客户端已经取消安全审核情况:dns不指向域控 无审核失败日志,指向域控 每秒有200条审核失败百度到的微软解释:http://support.microsoft.com/kb/2549079/zh-cn,替代方法中我试过把计划任务服务停止,计划任务清空,历史记录不知道在哪里查看...
服务器系统日志4625,事件4625窗口安全审核无法登录 . 失败原因:未知用户名或密码错误...
weixin_28888459的博客
08-12 7373
我有Windows服务器2012 R2天蓝色虚拟实例,并且很少有端口打开,即(80,443,RDC) . 我在安全性部分中观察了以下日志到Windows事件查看器 .事件4625:Microsoft Windows安全审核-------日志描述开始帐户无法登录 .学科:安全ID:NULL SID用户名: -帐户域名: -登录ID:0x0登录类型:3登录失败的帐户:安全ID:NULL SID帐户名称...
linux日志审核策略配置,Linux/Window 安全设置
weixin_31225063的博客
05-04 1633
Linux安全配置1、关闭多余用户:IP、news、uucp、games、mail与其他自定义的没有使用的用户(groupdel userdel)更改一些用户的shell,不需要登录的改成:/bin/nologin2、设置密码过期策略:Vi /etc/login.defs #过期时间90天PASS_MAX_DAYS=903、超时自动注销登录:Vi /etc/profile ##600秒注销TM...
日志审计系统如何和服务器互联,服务器如何查看审计日志
weixin_42524883的博客
08-09 1959
服务器如何查看审计日志 内容精选换一换云审计CTS与LTS进行系统对接后,系统自动在云日志服务控制台创建的日志组和日志流,如果需要将CTS的日志转储至OBS中,您需要进行以下操作:在云审计服务管理控制台,单击左侧导航栏中的“追踪器”。单击追踪器“system”右侧的“配置”。在“配置追踪器”页面,开启“事件分析”。在云日志服务管理控制台,选择左侧导航栏中的“日志转储”,单击“如果变更规格失败,请到...
搭建高性能日志服务器,syslog日志服务器搭建
weixin_39928768的博客
08-13 1725
syslog日志服务器搭建 内容精选换一换提供多个业务节点提供共享的日志输出目录,方便分布式应用的日志收集和管理。业务特点:多个业务主机挂载同一个共享文件系统,并发打印日志。大文件小I/O:单个日志文件比较大,但是每次日志的写入I/O比较小。写I/O密集型:业务以小块的写I/O为主。多个业务主机挂载同一个共享文件系统,并发打印日志。大文件小I/O:单个日志文件比较大,但是每次日志云审计CTS与LT...
思科配置系统日志服务器配置,思科路由器 设置日志服务器配置
weixin_29531177的博客
08-11 1627
思科路由器 设置日志服务器配置 内容精选换一换简要介绍Rsyslog是一个集中日志管理工具,基于流行的服务端/客户端模式,通过TCP或者UDP传输协议来发送日志信息,或者从网络设备、服务器、路由器、交换机、以及其它系统或嵌入式设备中接收生成的日志。语言:C一句话概述:集中日志管理工具云服务器要求本文以云服务器KC1实例测试,云服务器配置如表1所示。操作系统要求操作系统要求如表2所示。kuberne...
服务器安全日志显示审核失败,与服务器上,安全日志出现大量的675 680错误,该如何解决?...
weixin_26850069的博客
08-10 915
错误如下:大量的错误事件类型:审核失败事件来源:Security事件种类:帐户登录事件 ID:680日期:2010-12-1事件:16:29:10用户:NT AUTHORITY\SYSTEM计算机:EXC描述:尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登录帐户: glspbcb源工作站: TDB-HW错误代码: 0x...
服务器安全日志显示审核失败,如何将服务器审核事件写入安全日志
weixin_28674303的博客
08-06 1117
在高度安全环境中,Windows 安全日志是写入记录对象访问的事件的合适位置。其他审核位置也受支持,但是更易被篡改。将 SQL Server 服务器审核写入 Windows 安全日志有两个关键要求:必须配置审核对象访问设置以捕获事件。可根据您的操作系统而采用最佳的配置方法。在 Windows Vista 和 Windows Server 2008 中,使用审核策略工具 (auditpol.exe)...
服务器日志显示好多错误,我的一台Web应用服务的安全日志出现好多ID是529和680的审核失败日志,奇怪的是登陆名是数据库服务器计算机的名称+$...
weixin_35648005的博客
08-13 739
说明:1、我的WEB服务器和数据服务器都是windows server 2003 R2 sp2,数据库用的是SQLServer 20052、出现这样的日志每天都有很多(我的应用能正常使用)日志内容:事件类型:审核失败事件来源:Security事件种类:登录/注销事件 ID:529日期:2011-7-25事件:8:01:09用户:NT AUTHORITY\SYSTEM计算机:WE...
Windows 4625日志类别解析:未成功的账户登录事件
weixin_46356409的博客
06-29 1254
Windows 4625日志属于。
查询指定时间内审核失败的事件日志
weixin_34148508的博客
03-30 237
查询指定时间内审核失败的事件日志,必须要加namespace,否则无返回 $s = get-date "3/30/2016 13:54:03" $e = get-date "3/30/2016 13:55:03" $stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s) $etime = [...
详细分析Windows安全日志事件ID 4625:一个帐户登录失败
阿斌(Ben)的博客
10-17 3858
原文地址: https://blog.csdn.net/lygzscnt12/article/details/79495361?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearn
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值