如何在Windows Server 2012中查找4625事件ID的来源

我的事件日志中有很多审计失败，事件ID 4625和登录类型3。

是我的服务器（内部服务或应用程序）出现此问题吗？还是这是蛮力攻击？最后，我如何找到此登录的来源并解决问题？

这是“常规”选项卡中的详细信息：

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort - 

我在服务器上有相同类型的事件。有数百次使用不同用户名的登录尝试，但是看不到进程ID或IP地址。

我很确定它来自Internet上的RDP连接，而没有网络级别的身份验证。

我在这里找到的有效解决方案：https : //github.com/DigitalRuby/IPBan

对于Windows Server 2008或同等版本，应禁用NTLM登录，而仅允许NTLM2登录。在Windows Server 2008上，无法获取NTLM登录名的IP地址。使用secpol->本地策略->安全选项->网络安全限制ntlm传入ntlm流量->拒绝所有帐户。

在RU版本：Локальнаяполитикабезопасности - >Локальныеполитики - >Параметрыбезопасности - >Сетеваябезопасность：ограниченияNTLM：входящийтрафикNTLM - >Запретитьвсеучетныезаписи

这些是黑客攻击。攻击者的目标是暴力破解服务器的帐户/密码。

我建议安装一个简单的入侵检测系统（IDS）。您可能要考虑RDPGuard（商业），IPBan，evlWatcher。我自己使用的是Cyber​​arms IDDS。这个简单，具有友好的界面（尽管需要.NET Framework 4.0）。

这个想法很简单：IDS监视服务器的安全日志中是否存在可疑的登录失败事件。然后，它会软锁定尝试来自的IP地址。当软锁定IP的尝试继续进行时，您还可以配置硬锁定。

发生这种情况时是否碰巧关闭了域控制器？这看起来与本文中描述的场景非常相似：

https://support.microsoft.com/zh-cn/kb/2683606

Windows进入关闭状态时，它应告知尝试对DC进行身份验证的新客户端，他们需要联系其他DC。但是，在某些情况下，DC会答复客户端该用户不存在。这将导致重复的身份验证失败，直到域控制器最终完成关闭并强制客户端切换DC。

本文提出的解决方案是在关闭服务器之前停止域控制器上的netlogon服务。这使得它在进入关闭状态并强制客户端找到新的DC之前不可用于身份验证。

此事件通常是由过时的隐藏凭据引起的。从给出错误的系统中尝试以下操作：

在命令提示符下运行： psexec -i -s -d cmd.exe
在新的cmd窗口中运行： rundll32 keymgr.dll,KRShowKeyMgr

删除所有显示在“存储的用户名和密码”列表中的项目。重新启动计算机。