none
win2008服务器不断出现事件ID为4625的审核失败记录,每秒都可以出现几十上百的登陆失败请求 RRS feed

  • 问题

  • 任务类别:          登录
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           WIN-JMH
    描述:
    帐户登录失败。

    主题:
    安全 ID: NULL SID
    帐户名: -
    帐户域: -
    登录 ID: 0x0

    登录类型: 3

    登录失败的帐户:
    安全 ID: NULL SID
    帐户名: ASPNET
    帐户域: IDC-43

    失败信息:
    失败原因: 未知用户名或密码错误。
    状态: 0xc000006d
    子状态: 0xc0000064

    进程信息:
    调用方进程 ID: 0x0
    调用方进程名: -

    网络信息:
    工作站名: ZHIDC-AD0F9D843
    源网络地址: 202
    源端口: 3

    详细身份验证信息:
    登录进程: NtLmSsp 
    身份验证数据包: NTLM
    传递服务: -
    数据包名(仅限 NTLM): -
    密钥长度: 0

    登录请求失败时在尝试访问的计算机上生成此事件。

    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “进程信息”字段表明系统上的哪个帐户和进程请求了登录。

    “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
    2013年6月28日 2:33

全部回复

  • 大家知道的帮帮忙。补丁也打了。问题已经。。真的是
    2013年6月28日 3:38
  • 显示可能有不断的尝试性登入,试图在短时间内不断的以多个帐密测试破解登入帐密,若可查出IP,可尝试阻挡那些IP的连入请求
    2013年6月28日 3:54
  • 显示可能有不断的尝试性登入,试图在短时间内不断的以多个帐密测试破解登入帐密,若可查出IP,可尝试阻挡那些IP的连入请求

    我也遇到了这个问题 ,日志里看不到IP,怎么阻挡请求。这个问题很多人反映,似乎到现在还没解决。
    2017年2月14日 8:08