Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2019 - [решено] Windows Server 2019 и код события 4625

Ответить
Настройки темы
2019 - [решено] Windows Server 2019 и код события 4625

Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

Изменения
Автор: Maza11
Дата: 22-11-2024
Добрый день, есть Windows Server 2019 у которого с периодом в 15 минут происходит событие Аудит отказа с кодом 4625 в журнале безопасности
Периодичность 09:50, 10:05, 10:20, 10:35 и т.д.
IpPort разный в каждом событии 52320, 52342, 52292, 52283 и т.д.
Сервер на виртуалке (esxi) софта установлено по рабочему минимуму 1С, word, excel, winrar, acrobat reader dc, никаких кряков и репаков
В свойствах стеевой карты отключен протокол IPv6
Какая-то локальная служба или программа долбится каждые 15 минут в авторизацию?

Полный отчет с XML данными
Код: Выделить весь код
Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          22.11.2024 20:05:27
Код события:   4625
Категория задачи:Logon
Уровень:       Сведения
Ключевые слова:Аудит отказа
Пользователь:  Н/Д
Компьютер:     ИмяСервера.домен.ком
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		NULL SID
	Имя учетной записи:		ИмяСервера$
	Домен учетной записи:		ДОМЕН

Сведения об ошибке:
	Причина ошибки:		Ошибка при входе.
	Состояние:			0x80090302
	Подсостояние:		0xC0000418

Сведения о процессе:
	Идентификатор процесса вызывающей стороны:	0x0
	Имя процесса вызывающей стороны:	-

Сведения о сети:
	Имя рабочей станции:	ИмяСервера
	Сетевой адрес источника:	::1
	Порт источника:		52876

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
	- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2024-11-22T18:05:27.227143500Z" />
    <EventRecordID>326802</EventRecordID>
    <Correlation ActivityID="{5db3e664-3b67-0001-32e7-b35d673bdb01}" />
    <Execution ProcessID="660" ThreadID="716" />
    <Channel>Security</Channel>
    <Computer>ИмяСервера.домен.ком</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">ИмяСервера$</Data>
    <Data Name="TargetDomainName">ДОМЕН</Data>
    <Data Name="Status">0x80090302</Data>
    <Data Name="FailureReason">%%2304</Data>
    <Data Name="SubStatus">0xc0000418</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">ИмяСервера$ </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">::1</Data>
    <Data Name="IpPort">52876</Data>
  </EventData>
</Event>
Как можно найти виновника событий?
Execution ProcessID="660" это процесс lsas.exe
В политиках компьютера
Сетевая безопасность: уровень проверки подлинности LAN Manager - Send NTLMv2 response only. Refuse LM& NTLM.

Отправлено: 21:39, 22-11-2024

 

Аватара для NickM

Ветеран


Contributor


Сообщения: 4631
Благодарности: 1112

Профиль | Отправить PM | Цитировать

Ваша тема?

Постоянные попытки подключения на сервер с локальной машины
Это сообщение посчитали полезным следующие участники:

Отправлено: 22:35, 22-11-2024 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

Цитата NickM:
Ваша тема? »
ситуация примерно такая же, только у меня он сам к себе подключается причем по IPv6
может от Acrobat DC или Microsoft Office процесс какой-то, там оно и службы и много чего своего ставить при установке, всякие Adobe.ARM и OfficeClickToRun в процессах висят же.
Через FRST отчет сделал, почитал его, понятнее не стало.

Если известная примерная дата через 15 минут с точностью до 1-2 секунд, может можно мониторинг какой-то запустить и отследить кто именно в ту секунду обращался к lsas.exe
обращения были в
[22.11.2024 22:20:29]
[22.11.2024 22:35:29]
[22.11.2024 22:50:29]
[22.11.2024 23:05:30]

Отправлено: 00:16, 23-11-2024 | #3


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

запустил TCPLogView и NetworkTrafficView от NirSoft
Аудит отказа произошел в 24.11.2024 15:35:56
Local Address : 192.168.XX.2 локальный адрес этого сервера
Remote Address : 192.168.XX.1 адрес домена контроллера
LOG

Код: Выделить весь код
==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address     : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57022
Remote Port       : 135
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address     : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57023
Remote Port       : 49701
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 15:35:56
Event Type        : Open
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяСервера.домен.ком
Local Port        : 57019
Remote Port       : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

только в событиях
Порт источника: 57020
А в логе 57019, но время совпадает, с портом 57020 записей нет в логе

Еще один лог в 16:05:56, здесь порт 57040 совпадает с портом в журнале событий
LOG

Код: Выделить весь код
==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49671
Remote Port       : 0
Process ID        : 2904
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57039
Remote Port       : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57040
Remote Port       : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Close
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49671
Remote Port       : 0
Process ID        : 2904
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Close
Local Address     : ::1
Remote Address    : ::1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 57040
Remote Port       : 0
Process ID        : 304
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address     : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57042
Remote Port       : 135
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 16:05:56
Event Type        : Open
Local Address     : 192.168.XX.2
Remote Address    : 192.168.XX.1
Remote Host Name  : DC.домен.ком
Local Port        : 57043
Remote Port       : 49701
Process ID        : 660
Process Name      : lsass.exe
Process Path      : C:\Windows\System32\lsass.exe
Process User      : NT AUTHORITY\SYSTEM
Remote IP Country : 
==================================================



насколько я понимаю, происходит доменная синхронизация по IPv4 успешно, потом по IPv6 он зачем-то обращается сам к себе и происходит отказ с соответствующей записью, правильно?
Как ее отключить, если IPv6 не используется и нужно ли это.

Есть вот такая статья
Руководство по настройке IPv6 в Windows для опытных пользователей
https://learn.microsoft.com/ru-ru/tr...pv6-in-windows

где в реестре отключают и настраивают IPv6
Код: Выделить весь код
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
Название: DisabledComponents
Без вашего совета я не полезу туда бездумно отключать все подряд.
Тем более я не знаю какой из нужных параметров выбрать.
Напомню что в настройках флаг IPv6 cнят в Ethernet соединении, но оно к себе как локалхост почему все равно обращается по IPv6

Последний раз редактировалось Maza11, 24-11-2024 в 19:27.

Отправлено: 16:58, 24-11-2024 | #4


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

Отключил IPv6 через реестр DisabledComponents - FF
стало обращаться к 127.0.0.1 вместо ::1 также после обращения к DC каждые 15 минут
[spoiler=LOG]
Код: Выделить весь код
==================================================
Event Time        : 24.11.2024 21:28:10
Event Type        : Close
Local Address     : 127.0.0.1
Remote Address    : 127.0.0.1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49676
Remote Port       : 49891
Process ID        : 3024
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

==================================================
Event Time        : 24.11.2024 21:28:10
Event Type        : Close
Local Address     : 127.0.0.1
Remote Address    : 127.0.0.1
Remote Host Name  : ИмяКомпа.домен.ком
Local Port        : 49891
Remote Port       : 49676
Process ID        : 344
Process Name      : svchost.exe
Process Path      : C:\Windows\System32\svchost.exe
Process User      : NT AUTHORITY\NETWORK SERVICE
Remote IP Country : 
==================================================

скрин

Последний раз редактировалось Maza11, 25-11-2024 в 00:27.

Отправлено: 22:42, 24-11-2024 | #5


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

Отслеживал через Process Monitor
дата 25.11.2024 18:29:16 порт источника 51015
Что-то очень похожее на сервер терминалов.
Если я правильно отследил цепочку
(WinServ2019 если что является сервером терминалов сам себе, лицензирование на устройство, было прописано localhost)
Код: Выделить весь код
C:\Windows\System32\svchost.exe -k termsvcs -s TermService
C:\Windows\system32\svchost -k TSLicensing
а перед этими записями было обращение в порт 51014
Код: Выделить весь код
C:\Windows\system32\svchost.exe -k RPCSS -p
В политиках компьютера
Сетевая безопасность: уровень проверки подлинности LAN Manager - Send NTLMv2 response only. Refuse LM& NTLM.
Require user authentication for remote connections by using Network Level Authentication (NLA) - Отключен
сервер работает менее 120 дней и постоянных лицензий на устройство еще не выдал

скрины Process Monitor и сервера терминалов



Можете помочь?

Последний раз редактировалось Maza11, 26-11-2024 в 17:26.

Отправлено: 15:06, 26-11-2024 | #6


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

в Средство диагностики лицензирования удаленных рабочих столов на вкладке действия под localhost есть Предоставьте учетные данные, что это такое, из-за чего у меня могут происходить эти записи отказа доступа?
Если обычный NTLM запрещен, а разрешен только NTLMv2, а он сам к себе как localhost по NTLM обращается и получает отказ, по настройкам групповых политик домена Send NTLMv2 response only. Refuse LM& NTLM., разрешать NTLM траффик не вариант.

Отправлено: 02:27, 28-11-2024 | #7


Аватара для Maza11

Старожил


Сообщения: 284
Благодарности: 2

Профиль | Отправить PM | Цитировать

решил вопрос, не правильно был прописан сервер лицензий
в домене его нужно указывать как имясервера.домен.ком, а не localhost как в рабочей группе
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:25, 28-11-2024 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2019 - [решено] Windows Server 2019 и код события 4625

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - События 4776 и 4625 в логах fkshareware Windows Server 2008/2008 R2 0 10-09-2021 10:29
EventID - Уведомление Ист. события: HHCTRL Категория события: Отсутствует. Код события: 1903 cleric1985_n Устранение критических ошибок Windows 7 27-11-2015 16:14
MSFT SQL Server - Report Server Windows Service (MSSQLSERVER), Код события 140 (ошибка) GAMA123 Программирование и базы данных 0 09-12-2013 08:46
EventID - Код события: 20 Источник события: Windows Update Agent EdLev Устранение критических ошибок Windows 3 12-11-2010 16:19
EventID - [решено] Источник события:Windows Installer 3.1 Код события: 4379 ozzik Устранение критических ошибок Windows 2 31-10-2007 15:41


« Предыдущая тема | Следующая тема »


 
Переход