云服務(wù)器或本地電腦出現(xiàn)大量事件ID為“4625”的解決辦法

[重要通告]如您遇疑難雜癥,本站支持知識付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

最近有客戶說在Windows安全日志(windows 2008R2 64位)中有大量的網(wǎng)絡(luò)登錄失敗記錄(事件ID為4625),大量的外網(wǎng)IP嘗試后臺登錄我的計算機(jī),感覺公司的網(wǎng)絡(luò)服務(wù)器不安全了,問如何的能有效的防治或者不出現(xiàn)這個問題;具體看圖;

知道了癥狀,我們就來用啥方式方法來解決一下:

1:禁用Server服務(wù),在“網(wǎng)絡(luò)和共享中心”中,關(guān)閉所有共享----->無效。

2:編寫一個powershell腳本,用來阻止外網(wǎng)IP----->這個不治本。

$arrayT1=New-Object 'string[,]' 1,1;
$arrayList=New-Object System.Collections.ArrayList;
$arrayList.Clear();
$stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream
[regex]::matches($stream, '(\d+\.){3}\d+') | %{
$count=$arrayList.Count;
if ($count -ge 1) {
$b=0;
for ($i=0;$i -lt $count;$i++) {
if ($arrayList[$i][0] -eq [string]$_.Value) {
$arrayList[$i][1]+=1;
break;
}
else {
$b=$i+1;
}
}
if ($b -eq $count) {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
}
else {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
} | Out-Null;
$count1=$arrayList.Count;
$array1=New-Object 'string[]' $count1;
for ($i=0;$i -lt $count1;$i++) {
$int1=0;
$int2=1;
for ($j=0;$j -lt $arrayList.Count;$j++){
if ($arrayList[$j][1] -gt $int2) {
$int2=$arrayList[$j][1];
$int1=$j;
}
}
$str1="";
$c=16 - [string]$arrayList[$int1][0].length;
for ($k=0;$k -lt $c;$k++) {
$str1=$str1 + " ";
}
$array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1];
$str2="ForbiddenIP:" + $arrayList[$int1][0];
New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null;
$arrayList.Remove($arrayList[$int1]);
}
"Total:" + $count1;
$array1;

3:禁用3389,445,23,135,137,138,139,445號端口

如若要使用這些端口3389(請更改端口號),盡量把135,137,138,139,445號端口禁用

4、防火墻操作

PS延伸閱讀:

每一個失敗的嘗試登錄本地計算機(jī)無論登錄類型,用戶的位置或類型的帳戶。

主題:

標(biāo)識要求的賬戶登錄的用戶,而不是只是嘗試登錄。主題通常是Null或服務(wù)主體之一,通常不會有用的信息??吹絼倓俵offed新登錄到系統(tǒng)中。

登錄類型:

這是一個有價值的信息,因為它告訴你用戶登錄:

登錄類型

描述

2

互動(鍵盤和屏幕的登錄系統(tǒng))

3

網(wǎng)絡(luò)(即連接到共享文件夾從其他地方在這臺電腦上網(wǎng)絡(luò))

4

批處理(即計劃任務(wù))

5

服務(wù)(服務(wù)啟動)

7

解鎖密碼保護(hù)屏幕保護(hù)程序(即unnattended工作站)

8

NetworkCleartext(登錄憑據(jù)發(fā)送明文。通常表示與“基本身份驗證”登錄到IIS)

9

NewCredentials如RunAs或映射網(wǎng)絡(luò)驅(qū)動器替代憑證。這個登錄類型似乎并沒有出現(xiàn)在任何事件。

10

RemoteInteractive(終端服務(wù),遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助)

11

CachedInteractive(與緩存域登錄憑證時登錄一臺筆記本電腦等遠(yuǎn)離網(wǎng)絡(luò))

登錄失敗:占

這個標(biāo)識的用戶試圖登錄,但都以失敗告終。

·????????安全I(xiàn)D:SID試圖登錄的帳戶。這個空白或NULL SID如果沒有確定一個有效的賬戶——例如,指定的用戶名不對應(yīng)一個有效帳號登錄名稱。

·????????帳戶名稱:中指定的賬戶登錄名登錄嘗試。

·????????帳戶域:域或——本地賬戶的情況——計算機(jī)名稱。

故障信息:
部分解釋了為什么登錄失敗。

·????????失敗原因:文本的解釋登錄失敗。

·????????地位和子狀態(tài):十六進(jìn)制代碼解釋登錄失敗的原因。有時子狀態(tài)是,有時不是。下面是我們發(fā)現(xiàn)的代碼。

地位和子狀態(tài)碼

描述(不針對失敗的原因:“檢查)

0 xc0000064

用戶名不存在

0 xc000006a

用戶名是正確的,但密碼是錯誤的

0 xc0000234

用戶當(dāng)前鎖定

0 xc0000072

帳戶目前禁用

0 xc000006f

用戶試圖登錄天的外周或時間限制

0 xc0000070

工作站的限制

0 xc0000193

帳號過期

0 xc0000071

過期的密碼

0 xc0000133

時鐘之間的直流和其他電腦太不同步

0 xc0000224

在下次登錄用戶需要更改密碼

0 xc0000225

顯然一個缺陷在Windows和不是一個風(fēng)險

0 xc000015b

沒有被授予該用戶請求登錄類型(又名登錄正確的)在這臺機(jī)器

0 xc000006d

似乎是由于系統(tǒng)問題和不安全。

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » 云服務(wù)器或本地電腦出現(xiàn)大量事件ID為“4625”的解決辦法

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情