隨機源IP地址

分享于 

2分钟阅读

互联网

  简体

問題:

新安裝的MS Windows Server 2019 VM每天記錄上百個安全日誌審核失敗,事件ID為4625.

雖然工作站名稱"workstation"經常出現,但帳戶名稱,源IP地址和工作站名稱是隨機的。

示例日誌條目為:


An account failed to log on.



Subject:


 Security ID: NULL SID


 Account Name: -


 Account Domain: -


 Logon ID: 0x0



Logon Type: 3



Account For Which Logon Failed:


 Security ID: NULL SID


 Account Name: Hp


 Account Domain: 



Failure Information:


 Failure Reason: Unknown user name or bad password.


 Status: 0xC000006D


 Sub Status: 0xC0000064



Process Information:


 Caller Process ID: 0x0


 Caller Process Name: -



Network Information:


 Workstation Name: workstation


 Source Network Address: 40.117.34.82


 Source Port: 0



Detailed Authentication Information:


 Logon Process: NtLmSsp 


 Authentication Package: NTLM


 Transited Services: -


 Package Name (NTLM only): -


 Key Length: 0



This event is generated when a logon request fails. It is generated on the computer where access was attempted.




答案1:

如果不希望這些登錄嘗試訪問伺服器,就不要打開從internet到伺服器的埠,當然,這將破壞合法用戶訪問伺服器上的郵箱的能力,如果您希望合法用戶可以從Internet訪問伺服器,那麼您將不得不忍受這一點。IDS/IPS可能有助於阻止一些非法嘗試,但它無法消除所有嘗試。


答案2:

自從Win Server 2008起,默認情況下NTLM被禁用

NTLMV1協議和LM哈希均被禁用。

我可以做些什麼來防止這些登錄嘗試到達伺服器?

您無法禁止身份驗證嘗試到達伺服器。



Source  添加  rand  随机  Ip地址