服务器日志出现大量NTLM(NT LAN Manager)攻击

avatar
作者
猴君
阅读量:2

日志名称:Security
来源:  Microsoft-Windows-Security-Auditing
日期:  2023/8/30 20:57:40
事件 ID:4625
任务类别:登录
级别:  信息
关键字: 审核失败
用户:  暂缺
计算机: WIN-QBJ3ORTR0CF
描述:
帐户登录失败。

主题:
    安全 ID:NULL SID
    帐户名:-
    帐户域:-
    登录 ID:0x0

登录类型:3

登录失败的帐户:
    安全 ID:NULL SID
    帐户名:ADMINISTRATOR
    帐户域:

失败信息:
    失败原因:未知用户名或密码错误。
    状态:0xc000006d
    子状态:0xc000006a

进程信息:
    调用方进程 ID:0x0
    调用方进程名:-

网络信息:
    工作站名:    
    源网络地址:    -
    源端口:-

详细身份验证信息:
    登录进程:NtLmSsp 
    身份验证数据包:    NTLM
    传递服务:    -
    数据包名(仅限 NTLM):    -
    密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />
    <EventRecordID>60611276</EventRecordID>
    <Correlation />
    <Execution ProcessID="568" ThreadID="2376" />
    <Channel>Security</Channel>
    <Computer>WIN-QBJ3ORTR0CF</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">ADMINISTRATOR</Data>
    <Data Name="TargetDomainName">
    </Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc000006a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
  </EventData>
</Event>

解决方案:

警告,如果未进行如下设置,设置【网络安全:限制 NTLM:传入 NTLM 流量 - 拒绝所有帐户】后,有可能无法登录远程桌面,参考:阻止 NTLM后无法登录远程桌面的原因_子蛟的博客-CSDN博客

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!