Событие 4625 Ошибка проверки NULL SID не удалось подключить к сети
В трех отдельных системах на сервере контроллера домена регистрируется много раз (от 30 до 4000 раз в день в зависимости от системы):
Это событие немного отличается от всех других, которые я нашел во время исследования, но я определил следующее:
Похожее сходство системных систем:
- Операционная система сервера: Windows Small Business Server 2011 или Windows Server 2012 R2 Essentials
- Настольная операционная система: Windows 7 Professional (обычно)
Различия в уязвимых системах:
- Антивирус
- Интегрированная фильтрация через Интернет Active Directory
- Настольные кэшированные входы
- Роли (обмен, резервное копирование и т. д.)
Некоторые интересные вещи, которые я заметил в самой сильно затронутой системе:
- Недавно мы начали синхронизировать пароли учетных записей пользователей Active Directory и Office 365 с помощью интеграции Windows Server 2012 R2 Essentials Office 365. Для интеграции требуется пароль администратора Office 365 и эскалация политики безопасности. Для синхронизации требуется, чтобы каждая учетная запись пользователя была назначена соответствующей учетной записи Microsoft, которая требует, чтобы пароль учетной записи был изменен при следующем входе в систему. Мы также добавили свой основной почтовый домен в качестве суффикса UPN в доменах Active Directory и доверенных точках и изменили UPN всех учетных записей пользователей на свой домен электронной почты. Фактически это позволило им войти в домен и Office 365 с использованием их адреса электронной почты и пароля. Однако, поскольку при этом количество событий, зарегистрированных в день, увеличилось с
3900. Примечание. Ни одна из учетных записей пользователей с правами администратора или на основе работы (резервное копирование, сканирование и т. Д.) Не была изменена, и у пользователей нет проблем с доступом к каким-либо частям системы.
Основная часть событий, как правило, регистрируется с регулярными интервалами обычно каждые 30 или 60 минут, за исключением
09:00, когда пользователи приходят на работу: 2015/07/02 18:55
2015/07/02 19:25
2015/07/02 19:54
2015/07/02 20:25
2015/07/02 20:54
2015/07/02 21:25
2015/07/02 22:24
2015/07/02 23:25
2015/07/03 00:25
2015/07/03 01:24
2015/07/03 01:55
2015/07/03 02:24
2015/07/03 02:55
2015/07/03 03:55
2015/07/03 04:55
2015/07/03 05:54
2015/07/03 06:25
2015/07/03 07:25
2015/07/03 08:24
2015/07/03 08:27
2015/07/03 08:49
2015/07/03 08:52
2015/07/03 08:54
2015/07/03 08:56
2015/07/03 08:57
2015/07/03 09:00
2015/07/03 09:01
2015/07/03 09:03
2015/07/03 09:06
2015/07/03 09:08
2015/07/03 09:10
2015/07/03 09:12
2015/07/03 09:13
2015/07/03 09:17
2015/07/03 09:13
2015/07/03 09:25
2015/07/03 10:24
2015/07/03 11:25
Следующее событие регистрируется на сервере служб терминалов /удаленных рабочих столов, хотя нигде не так много раз:
Итак, в целом, он определенно связан с доступом к сети с настольных компьютеров, используя учетные записи пользователей пользователей, но я не вижу, как это сделать.
Обновление 2015/08/25 08:48:
В самой сильно затронутой системе я сделал следующее, чтобы изолировать проблему и после каждого возврата изменения:
- Завершите работу сервера служб терминалов /удаленных рабочих столов, а общие неудачные входы сделали .
- Отключеносервер контроллера домена из сети, а общий сбой входа в систему сделал .
- Перезагрузили сервер в безопасном режиме без сети, а общий сбой входа в систему не был продолжен.
- Остановить и отключить все «ненужные» службы (агент мониторинга, резервное копирование, интеграция сетевой фильтрации, TeamViewer, антивирус и т. д.), а также общие неудачные входы в систему сделали .
- Остановлены и отключены службы Windows Server Essentials ( WseComputerBackupSvc , WseEmailSvc , WseHealthSvc , WseMediaSvc , WseMgmtSvc и WseNtfSvc ) и общие неудачные входы не выполнялись .
- В конечном итоге остановилась и отключена служба управления основными ресурсами Windows Server ( WseMgmtSvc ), а общий сбой входа в систему не был продолжить.
Я дважды проверял, что Служба управления Essentials Windows Server ( WseMgmtSvc ) несет ответственность за эти общие неудачные входы в систему, отключив ее для через несколько дней, и не было никаких общих неудачных входов в систему и разрешилось в течение нескольких дней, а также были обнаружены тысячи неудачных входов в систему.
Обновление 2015/10/08 09:06:
В 2015/10/07 в 16:42 я нашел следующую запланированную задачу:
- Имя: «Оценки оповещений»
- Местоположение: «\ Microsoft \ Windows \ Windows Server Essentials»
- Автор: «Microsoft Corporation»
- Описание: «Эта задача периодически оценивает работоспособность компьютера».
- Учетная запись: «СИСТЕМА»
- Триггеры: «В 08:54 28/10/2014 — после запуска повторяйте каждые 30 минут бесконечно»
- Действия: «Запустите программу: C: \ Windows \ System32 \ Essentials \ RunTask.exe /asm:»C:\Windows\Microsoft.Net #assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework .dll «/class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask /method: EvaluateAlertsTaskAction /task:» Alert Evaluations «»
Этот таймфрейм почти точно соответствует описанному выше поведению, поэтому я отключил его, чтобы увидеть, влияет ли это на проблему.
В 2015/10/08 в 08:57 я обнаружил, что только 47 из этих родовых неудачных входов в систему регистрировались с нерегулярными интервалами.
Неизвестный вход на сервер, неизвестно кем
Прошу помощи в разъяснении вопроса:
Windows server 2012 r2
Ежедневно в логах сервера нахожу аудит входа и выхода в систему непонятного мне происхождения, который в 100% случаев (на данный момент времени) имеет длительность не более 1 секунды. Используемая УЗ при этом «Анонимный вход» и процесс входа всегда NtLmSsp.
Иногда отображается рабочая станция, как в случае ниже.(в 90% случаев каждый раз разная)
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x221F8BBC
GUID входа:
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —
Сведения о сети:
Имя рабочей станции: MICSFBSBA02
Сетевой адрес источника: 121.100.17.194
Порт источника: 34197
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: —
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128
А иногда ничего.
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи:
Код входа: 0x21FF2F6C
GUID входа:
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: 148.153.38.78
Порт источника: 54306
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: —
Имя пакета (только NTLM): NTLM V1
Длина ключа: 0
При этом меня беспокоят исходные IP адреса. 99% случаев это страны, отличные от России. А при их трассировке становится понятно, что это, скорее всего прокси-VPNы.
Порты источника — всегда разные. Проверял.. закрыты.
Что я делал:
1) Изменил стандартный порт 3389
2) Привязал к новому порту разрешения использования «только указанный IP» т.е. мой
3) брандмауэру тоже задал параметны на использования удалённого стола только с моего IP
4) Отключил все УЗ (кроме нужных)
5) Проверил права в групповой политике. никаких дополнительных настроект нет для других или незнакомых мне уз.
6) В группе Администраторов добавил только «себя»
7) В группу удалённых рабочих столов разрешил только «себя»
8) Сменил все пароли УЗ.
Но записи аудита как были-так и продолжают ежедневно быть.
NULL SID logon Windows 7
Please assist at the earliest opportunity. This is a dire emergency.
I am running a Windows 7 machine. My computer which is running Windows 7 was compromised and was made to crash. I reinstalled Windows 7 and it appears to be happening again.Security logs generated the following entries. Event IDs are followed by description.
Windows is starting up.
This event is logged when LSASS.EXE starts and the auditing subsystem is initialized.
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: —
Account Domain: —
Logon ID: 0x0
The Per-user audit policy table was created.
Number of Elements: 0
Policy ID: 0x3164b
A security-enabled local group was created.
Subject:
Security ID: SYSTEM
Account Name: 37L4247E29-32$
Account Domain: WORKGROUP
Logon ID: 0x3e7
New Group:
Security ID: BUILTIN\Backup Operators
Group Name: Backup Operators
Group Domain: Builtin
Attributes:
SAM Account Name: Backup Operators
SID History: —
Additional Information:
Privileges: —
A security-enabled local group was changed.
Subject:
Security ID: SYSTEM
Account Name: 37L4247E29-32$
Account Domain: WORKGROUP
Logon ID: 0x3e7
Group:
Security ID: BUILTIN\Backup Operators
Group Name: Backup Operators
Group Domain: Builtin
Changed Attributes:
SAM Account Name: —
SID History: —
Additional Information:
Privileges: —
A security-enabled local group was created.
Subject:
Security ID: SYSTEM
Account Name: 37L4247E29-32$
Account Domain: WORKGROUP
Logon ID: 0x3e7
New Group:
Security ID: BUILTIN\Replicator
Group Name: Replicator
Group Domain: Builtin
Attributes:
SAM Account Name: Replicator
SID History: —
Additional Information:
Privileges: —
This unauthorized user then became part of Power User, Cryptographic Operator, and other groups, then created a user name employing my computer name with a «$» after it. This very distrubing event followed.
Special privileges assigned to new logon.
Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3e7
Privileges: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
It is disconcerting that Microsoft should be, at this stage, susceptible to a legacy «null session» attack. Of course, the intrusion remains undetectable by any malware or virus scan. I won’t name what I am using, since I am most likely being monitored by a malicious user, but suffice it to say that it is among the best available.
The reason this attack is possible is because Microsoft’s latest release actually leaves itself open to flagrant security flaws being exploited by legacy (i.e. NetBIOS) features , which is incomprehensible to me. I am taking the necessary steps to alleviate this egregious compromise, but I can only imagine the amount of unwary end users who are being victimized by this attack, even if they exercise due care with regards to scanning for intrusions. At this point, the perpetrator is still «listening on port 139.
And this is the worst part of all. The so-called «Event Log Online Help» comes up with this pallid result.
Results for: Microsoft Product: Windows Operating System ; Version: 6.1.7600.16385 ; Event ID: 4624 ; Event Source: Microsoft-Windows-Security-Auditing ;
No results were found for your query. ..
If this is «state of the art», I’m going back to pen and paper. Moreover, what random end user is going to understand how to prevent such attacks?
I strongly suggest you exigently address this matter, because when the average end users find out how susceptible your OS is to bush-league attacks like this, they will quickly discover the level of due care given by Mac manufacturers and the developers of Linux.
Please assign this development a high priority. I can only imagine the number of nodes presently affected by this security compromise.
Windows logon null sid
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
I got the error after having the windows updates KB3000850 for my windows 2012 r2 server
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 12/03/2015 2:10:56 PM
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: COMPUTERNAME.DOMAIN.COM
Description:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: —
Account Domain: —
Logon ID: 0x0
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: USERNAME
Account Domain: DOMAINNAME
Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xC000006D
Sub Status: 0x0
Process Information:
Caller Process ID: 0x0
Caller Process Name: —
Network Information:
Workstation Name: COMPUTERNAME
Source Network Address: X.X.X.X
Source Port: 49576
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: —
Package Name (NTLM only): —
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
— Transited services indicate which intermediate services have participated in this logon request.
— Package name indicates which sub-protocol was used among the NTLM protocols.
— Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:
4625
0
0
12544
0
0x8010000000000000
780087
Security
COMPUTERNAME.DOMAIN.COM
S-1-0-0
—
—
0x0
S-1-0-0
USERNAME
DOMAINNAME
0xc000006d
%%2304
0x0
3
NtLmSsp
NTLM
COMPUTERNAME
—
—
0
0x0
—
X.X.X.X
49576
After the updates i encounter the issue
1) on domain computer unable open the sharing by using \\serveripaddress, the login dialog to enter network password will be prompt out with logon failure: unknown username or bad password
above event id 4625 audit failure will be generate in server event logs
but it can be open the sharing by using \\servercomputername sucessfully
2) The server host a hyper-v machine, windows updates KB3000850 caused the logon issues thru remote desktop
above issues occur after having windows updates KB3000850, anyone having the same issues?
I can’t find any solution, it goes fine after uninstall windows updates KB3000850.
