事件4625审核失败NULL SID失败的网络登录

在3个单独的系统中，以下事件在域控制器服务器上被记录多次（根据系统，一天之间在30至4,000次之间）：

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       %domainControllerHostname%$
    Account Domain:     %NetBIOSDomainName%
    Logon ID:       0x3E7

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x1ec
    Caller Process Name:    C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:   %domainControllerHostname%
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Schannel
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

该事件与我在研究过程中发现的所有其他事件都略有不同，但我确定了以下事项：

1. Event ID: 4625。“帐户无法登录”。
2. Logon Type: 3。“网络（即从网络上的其他位置连接到此计算机上的共享文件夹）”。
3. Security ID: NULL SID。“未标识有效帐户”。
4. Sub Status: 0xC0000064。“用户名不存在”。
5. Caller Process Name: C:\Windows\System32\lsass.exe。本地安全机构子系统服务（LSASS）是Microsoft Windows操作系统中的一个过程，负责在系统上实施安全策略。它验证用户登录Windows计算机或服务器，处理密码更改并创建访问令牌。它还会写入Windows安全日志。
6. Workstation Name: SERVERNAME。身份验证请求是由域控制器本身或通过域控制器本身提交的。

受影响的系统的相似之处：

1. 服务器操作系统：Windows Small Business Server 2011或Windows Server 2012 R2 Essentials
2. 桌面操作系统：Windows 7 Professional（通常）

受影响系统的差异：

1. 防毒软件
2. Active Directory集成的Internet筛选
3. 桌面缓存的登录
4. 角色（Exchange，备份等）

我在受影响最严重的系统中注意到了一些有趣的事情：

1. 我们最近开始通过Windows Server 2012 R2 Essentials的Office 365集成来同步Active Directory和Office 365用户帐户密码。集成需要升级Office 365管理员的密码和安全策略。同步要求将每个用户帐户分配给相应的Microsoft联机帐户，这需要在下次登录时更改该帐户的密码。我们还在Active Directory域和信任关系中将他们的主电子邮件域添加为UPN后缀，并将所有用户帐户的UPN更改为他们的电子邮件域。实际上，这使他们可以使用其电子邮件地址和密码登录到域和Office 365。但是，由于这样做，每天记录的事件数量已从〜900增加到〜3,900。注意：
2. 事件的大部分似乎每隔一段时间，除了〜09通常每隔30或60分钟记录：2015年7月2日18:55：00这是当用户到达工作
   2015年7月2日19:25
   2015年/
   07/02 19:54 2015/07/02 20:25
   2015/07/02 20:54
   2015/07/02 21:25
   2015/07/02 22:24
   2015/07/02 23:25
   2015/07 / 03 00:25
   2015/07/03 01:24
   2015/07/03 01:55
   2015/07/03
   02:24 2015/07/03
   02:55 2015/07/03 03:55
   2015/07/03 04:55
   2015/07/03 05:54
   2015/07/03 06:25
   2015/07/03 07:25
   2015/07/03 08:24
   2015/07/03 08:27
   2015/07/03 08： 49
   2015/07/03 08:52
   2015/07/03 08:54
   2015/07/03 08:56
   2015/07/03 08:57
   2015/07/03 09:00
   2015/07/03 09:01
   2015/07/03 09:03
   2015/07/03 09:06
   2015 / 07/03 09:08
   2015/07/03 09:10
   2015/07/03 09:12
   2015/07/03 09:13
   2015/07/03 09:17
   2015/07/03 09:13 2015/07
   / 03 09:25
   2015/07/03 10:24
   2015/07/03 11:25

3. 终端/远程桌面服务服务器上记录了以下事件，尽管发生的次数并不多：

   An account failed to log on.
   
   Subject:
       Security ID:        NULL SID
       Account Name:       -
       Account Domain:     -
       Logon ID:       0x0
   
   Logon Type:         3
   
   Account For Which Logon Failed:
       Security ID:        NULL SID
       Account Name:       %terminalServerHostname%
       Account Domain:     %NetBIOSDomainName%
   
   Failure Information:
       Failure Reason:     Unknown user name or bad password.
       Status:         0xC000006D
       Sub Status:     0xC0000064
   
   Process Information:
       Caller Process ID:  0x0
       Caller Process Name:    -
   
   Network Information:
       Workstation Name:   %terminalServerHostname%
       Source Network Address: %terminalServerIPv6Address%
       Source Port:        %randomHighNumber%
   
   Detailed Authentication Information:
       Logon Process:      NtLmSsp 
       Authentication Package: NTLM
       Transited Services: -
       Package Name (NTLM only):   -
       Key Length:     0
   
   This event is generated when a logon request fails. It is generated on the computer where access was attempted.
   
   The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
   
   The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
   
   The Process Information fields indicate which account and process on the system requested the logon.
   
   The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
   
   The authentication information fields provide detailed information about this specific logon request.
       - Transited services indicate which intermediate services have participated in this logon request.
       - Package name indicates which sub-protocol was used among the NTLM protocols.
       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
   

因此，总而言之，这似乎与使用工作人员用户帐户的台式计算机的网络访问有关，但我不知道如何。

更新2015/08/25 08:48：

在受影响最严重的系统中，我已执行以下操作以找出问题所在，并在每次还原更改后：

1. 关闭终端/远程桌面服务服务器，通用失败的登录确实继续。
2. 从网络上断开域控制器服务器的连接，并且通用失败的登录确实继续。
3. 在没有网络连接的情况下将服务器重新启动到安全模式，并且常规失败的登录未继续。
4. 停止并禁用所有“不必要的”服务（监视代理，备份，网络过滤集成，TeamViewer，防病毒等），并且通用失败的登录确实继续。
5. 停止并禁用的Windows服务器基本服务（WseComputerBackupSvc，WseEmailSvc，WseHealthSvc，WseMediaSvc，WseMgmtSvc，和WseNtfSvc）和通用登录失败并没有继续下去。
6. 最终，停止并禁用了Windows Server Essentials管理服务（WseMgmtSvc），并且通用失败的登录无法继续。

我已经仔细检查了Windows Server Essentials Management Service（WseMgmtSvc）是否禁用了几天，并且没有启用一般失败的登录并将其启用了几天，并且这些失败导致了这些常规失败的登录，并且有数千次常规失败的登录。

更新2015/10/08 09:06：

在2015/10/07的16:42，我发现了以下预定任务：

• 名称：“警报评估”
• 位置：“ \ Microsoft \ Windows \ Windows Server Essentials”
• 作者：“微软公司”
• 说明：“此任务会定期评估计算机的运行状况。”
• 帐户：“ SYSTEM”
• 触发条件：“在2014年10月28日08:54-触发后，每30分钟无限期重复一次”
• 操作：“启动程序：C：\ Windows \ System32 \ Essentials \ RunTask.exe /asm："C:\Windows\Microsoft.Net\assembly\GAC_MSIL\AlertFramework\v4.0_6.3.0.0__31bf3856ad364e35\AlertFramework.dll“ /class:Microsoft.WindowsServerSolutions.NetworkHealth.AlertFramework.HealthScheduledTask / method：EvaluateAlertsTaskAction / task：“警报评估”“

此时间范围几乎与上述行为完全匹配，因此我禁用了它以查看它是否影响了问题。

在2015/10/08的08:57，我发现这些通用失败登录中只有47个由于不定期的间隔而被记录。

因此，我进一步缩小了范围。

此事件通常是由过时的隐藏凭据引起的。从给出错误的系统中尝试以下操作：

在命令提示符下运行： psexec -i -s -d cmd.exe
在新的cmd窗口中运行： rundll32 keymgr.dll,KRShowKeyMgr

删除所有显示在“存储的用户名和密码”列表中的项目。重新启动计算机。

看来该问题是由计划任务“警报评估”引起的。