求助,windows2008日志里出现了大量审核失败的日志。

losenetway 2014-09-23 05:27:46

怎么可以防止服务器被扫描,我把管理员名称,远程端口都改了,
但是还是出现大量类似的 审核失败日志。

------------------------------------------------------------------------------
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2014-09-23 16:00:47
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: zzz
描述:
帐户登录失败。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: administrator
帐户域: SERVER-1

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc0000064

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: SERVER-1
源网络地址: 203.45.44.113
源端口: 60796

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2014-09-23T08:00:47.670924100Z" />
<EventRecordID>575965</EventRecordID>
<Correlation />
<Execution ProcessID="524" ThreadID="3244" />
<Channel>Security</Channel>
<Computer>zzz</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">administrator</Data>
<Data Name="TargetDomainName">SERVER-1</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">SERVER-1</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">203.45.44.113</Data>
<Data Name="IpPort">60796</Data>
</EventData>
</Event>
...全文
4178 1 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
aCracker 2014-09-28
  • 打赏
  • 举报
 回复
只开放用到端口,不用的端口关闭. 或者设置 只有指定的IP 网段可以访问指定的端口. 数据库,远程桌面的端口全部自定义.
WINDOWS系统服务详解
1 WINDOWS系统服务详解 -- WINDOWS系统服务详解 <P>1 Alerter 当系统发生故障时向管理员发送错误警报,除非电脑处于局域网,而且配有网络管理员,一 般不需要。 services.exe 不需要 禁用 2 Application Layer Gateway Service 提供第三方网络共享/防火墙软件支持的服务,有些防火墙/网络 ...
电脑技巧全书(超详细.)
目录检索(相关文章在对应的目录下找~~)~~1、最全的windows操作系统快捷键-------------------------------------1楼 2、Windows 开始→运行→命令 集锦! ---------------------------------2楼3、如何释放C盘空间 27招具体优化技巧 ----------------------...
银企直连ukey 集中管理方案
一、银企直连 随着银行业务自动化和数据集中化的提高,很多企业客户需要柜台办理的业务都转移到在线办理,目前主流的银行都专门为企业客户提供了ukey,以及对应的网络接口,实现在线账务查询,转账等业务。 二、企业使用银行Ukey遇到的问题 2.1企业使用银行Ukey常见问题 使用加密狗/加密锁(UKey)的企业,尤其是云计算虚拟化技术的大型企业,往往会用到大量的行业加密狗,这会导致一系列困扰:其一,加密狗在物理传递过程中,难免会发生各种状况,如丢失或毁损;其二,因公司业务需要,员工可能必须随身携带加密..
操作系统主机安全测试:脆弱点与漏洞分析
Windows 操作系统在现代数字化环境中广泛应用,但其面临的安全挑战不容小觑。本文详细分析了其在用户权限体系、文件系统结构、用户配置与管理、网络通信与协议、操作系统漏洞以及恶意文件等方面的脆弱点和漏洞。通过深入了解这些风险,我们可以认识到安全防护的重要性。在实际应用中,应积极采取有效的安全措施,如及时更新系统、合理配置权限、加强网络管理等,以降低安全风险,确保系统安全稳定运行,保护。
FirstRound 博客中文翻译(十一)
最近文化发生了很大变化。“我感觉我不再了解所有人了。“我们正在经历一些严重的成长困难。这些评论经常出现在创业公司的玻璃门页面上。这是因为驾驭高速增长很难。一方面,创业公司需要尽快找到人才,但为了长寿和士气,他们还需要找到适合并补充现有文化的人,而不是慢慢地将其扭曲成难以辨认的东西。欢迎大量新员工的加入通常会带来最初的担忧。但是还有更深层次的东西。这些评论的意思是,从团队早期的争斗中,有一种“不可逾越”的精神——每一个新成员都代表着一种对最初形成文化的“不可否认”的慢慢侵蚀。
安全技术/病毒

9,513

社区成员

28,957

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章