Candyman
01-12-2018, 16:47
Доброго всем времени суток.
Есть Windows 2012 R2 Standard север (без домена).
На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: USER9
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Больше всего смущает, что тип входа сетевой, а сведения о сети отсутствуют.
Сервер не я настраивал, меня попросили его "посмотреть". Саму сеть я не вижу, только удаленный доступ.
Из того, что уже определил:
- встроенная учетка администратора переименована, пароль криптостойкий.
- обновления включены и установлены до актуального состояния.
- firewall включен и настроен на стандартные сетевые службы:
- сетевое обнаружение
- файловый сервер
- сервер удаленного рабочего стола.
Помогите пожалуйста разобраться, в причинах подобного явления, чтобы устранить их.
Спасибо.
Есть Windows 2012 R2 Standard север (без домена).
На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: USER9
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Больше всего смущает, что тип входа сетевой, а сведения о сети отсутствуют.
Сервер не я настраивал, меня попросили его "посмотреть". Саму сеть я не вижу, только удаленный доступ.
Из того, что уже определил:
- встроенная учетка администратора переименована, пароль криптостойкий.
- обновления включены и установлены до актуального состояния.
- firewall включен и настроен на стандартные сетевые службы:
- сетевое обнаружение
- файловый сервер
- сервер удаленного рабочего стола.
Помогите пожалуйста разобраться, в причинах подобного явления, чтобы устранить их.
Спасибо.