随机源IP地址

分享于 

2分钟阅读

互联网

  繁體

问题:

新安装的MS Windows Server 2019 VM每天记录上百个安全日志审核失败,事件ID为4625.

虽然工作站名称"workstation"经常出现,但帐户名称,源IP地址和工作站名称是随机的。

示例日志条目为:


An account failed to log on.



Subject:


 Security ID: NULL SID


 Account Name: -


 Account Domain: -


 Logon ID: 0x0



Logon Type: 3



Account For Which Logon Failed:


 Security ID: NULL SID


 Account Name: Hp


 Account Domain: 



Failure Information:


 Failure Reason: Unknown user name or bad password.


 Status: 0xC000006D


 Sub Status: 0xC0000064



Process Information:


 Caller Process ID: 0x0


 Caller Process Name: -



Network Information:


 Workstation Name: workstation


 Source Network Address: 40.117.34.82


 Source Port: 0



Detailed Authentication Information:


 Logon Process: NtLmSsp 


 Authentication Package: NTLM


 Transited Services: -


 Package Name (NTLM only): -


 Key Length: 0



This event is generated when a logon request fails. It is generated on the computer where access was attempted.




答案1:

如果不希望这些登录尝试访问服务器,就不要打开从internet到服务器的端口,当然,这将破坏合法用户访问服务器上的邮箱的能力,如果您希望合法用户可以从Internet访问服务器,那么您将不得不忍受这一点。IDS/IPS可能有助于阻止一些非法尝试,但它无法消除所有尝试。


答案2:

自从Win Server 2008起,默认情况下NTLM被禁用

NTLMV1协议和LM哈希均被禁用。

我可以做些什么来防止这些登录尝试到达服务器?

您无法禁止身份验证尝试到达服务器。



Source  添加  rand  随机  Ip地址