云服務(wù)器或本地電腦出現(xiàn)大量事件ID為“4625”的解決辦法
[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!
最近有客戶說在Windows安全日志(windows 2008R2 64位)中有大量的網(wǎng)絡(luò)登錄失敗記錄(事件ID為4625),大量的外網(wǎng)IP嘗試后臺(tái)登錄我的計(jì)算機(jī),感覺公司的網(wǎng)絡(luò)服務(wù)器不安全了,問如何的能有效的防治或者不出現(xiàn)這個(gè)問題;具體看圖;
知道了癥狀,我們就來用啥方式方法來解決一下:
1:禁用Server服務(wù),在“網(wǎng)絡(luò)和共享中心”中,關(guān)閉所有共享----->無效。
2:編寫一個(gè)powershell腳本,用來阻止外網(wǎng)IP----->這個(gè)不治本。
$arrayT1=New-Object 'string[,]' 1,1; $arrayList=New-Object System.Collections.ArrayList; $arrayList.Clear(); $stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream [regex]::matches($stream, '(\d+\.){3}\d+') | %{ $count=$arrayList.Count; if ($count -ge 1) { $b=0; for ($i=0;$i -lt $count;$i++) { if ($arrayList[$i][0] -eq [string]$_.Value) { $arrayList[$i][1]+=1; break; } else { $b=$i+1; } } if ($b -eq $count) { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } else { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } | Out-Null; $count1=$arrayList.Count; $array1=New-Object 'string[]' $count1; for ($i=0;$i -lt $count1;$i++) { $int1=0; $int2=1; for ($j=0;$j -lt $arrayList.Count;$j++){ if ($arrayList[$j][1] -gt $int2) { $int2=$arrayList[$j][1]; $int1=$j; } } $str1=""; $c=16 - [string]$arrayList[$int1][0].length; for ($k=0;$k -lt $c;$k++) { $str1=$str1 + " "; } $array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1]; $str2="ForbiddenIP:" + $arrayList[$int1][0]; New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null; $arrayList.Remove($arrayList[$int1]); } "Total:" + $count1; $array1;
3:禁用3389,445,23,135,137,138,139,445號(hào)端口
如若要使用這些端口3389(請(qǐng)更改端口號(hào)),盡量把135,137,138,139,445號(hào)端口禁用;
4、防火墻操作
PS延伸閱讀:
每一個(gè)失敗的嘗試登錄本地計(jì)算機(jī)無論登錄類型,用戶的位置或類型的帳戶。
主題:
標(biāo)識(shí)要求的賬戶登錄的用戶,而不是只是嘗試登錄。主題通常是Null或服務(wù)主體之一,通常不會(huì)有用的信息??吹絼倓俵offed新登錄到系統(tǒng)中。
登錄類型:
這是一個(gè)有價(jià)值的信息,因?yàn)樗嬖V你用戶登錄:
登錄類型 |
描述 |
2 |
互動(dòng)(鍵盤和屏幕的登錄系統(tǒng)) |
3 |
網(wǎng)絡(luò)(即連接到共享文件夾從其他地方在這臺(tái)電腦上網(wǎng)絡(luò)) |
4 |
批處理(即計(jì)劃任務(wù)) |
5 |
服務(wù)(服務(wù)啟動(dòng)) |
7 |
解鎖密碼保護(hù)屏幕保護(hù)程序(即unnattended工作站) |
8 |
NetworkCleartext(登錄憑據(jù)發(fā)送明文。通常表示與“基本身份驗(yàn)證”登錄到IIS) |
9 |
NewCredentials如RunAs或映射網(wǎng)絡(luò)驅(qū)動(dòng)器替代憑證。這個(gè)登錄類型似乎并沒有出現(xiàn)在任何事件。 |
10 |
RemoteInteractive(終端服務(wù),遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助) |
11 |
CachedInteractive(與緩存域登錄憑證時(shí)登錄一臺(tái)筆記本電腦等遠(yuǎn)離網(wǎng)絡(luò)) |
登錄失敗:占
這個(gè)標(biāo)識(shí)的用戶試圖登錄,但都以失敗告終。
·????????安全I(xiàn)D:SID試圖登錄的帳戶。這個(gè)空白或NULL SID如果沒有確定一個(gè)有效的賬戶——例如,指定的用戶名不對(duì)應(yīng)一個(gè)有效帳號(hào)登錄名稱。
·????????帳戶名稱:中指定的賬戶登錄名登錄嘗試。
·????????帳戶域:域或——本地賬戶的情況——計(jì)算機(jī)名稱。
故障信息:
部分解釋了為什么登錄失敗。
·????????失敗原因:文本的解釋登錄失敗。
·????????地位和子狀態(tài):十六進(jìn)制代碼解釋登錄失敗的原因。有時(shí)子狀態(tài)是,有時(shí)不是。下面是我們發(fā)現(xiàn)的代碼。
地位和子狀態(tài)碼 |
描述(不針對(duì)失敗的原因:“檢查) |
0 xc0000064 |
用戶名不存在 |
0 xc000006a |
用戶名是正確的,但密碼是錯(cuò)誤的 |
0 xc0000234 |
用戶當(dāng)前鎖定 |
0 xc0000072 |
帳戶目前禁用 |
0 xc000006f |
用戶試圖登錄天的外周或時(shí)間限制 |
0 xc0000070 |
工作站的限制 |
0 xc0000193 |
帳號(hào)過期 |
0 xc0000071 |
過期的密碼 |
0 xc0000133 |
時(shí)鐘之間的直流和其他電腦太不同步 |
0 xc0000224 |
在下次登錄用戶需要更改密碼 |
0 xc0000225 |
顯然一個(gè)缺陷在Windows和不是一個(gè)風(fēng)險(xiǎn) |
0 xc000015b |
沒有被授予該用戶請(qǐng)求登錄類型(又名登錄正確的)在這臺(tái)機(jī)器 |
0 xc000006d |
似乎是由于系統(tǒng)問題和不安全。 |
問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!