如何解决Windows EC2服务器安全事件日志
此论坛和IT的新手。在AWS上拥有Windows服务器,并发现Windows安全事件日志具有200,000次无效的登录尝试。每隔几秒钟就会收到一个“审核失败”日志条目。问题:
- 这有多普遍?
- 可以采取什么措施阻止它? (它们来自多个IP地址)
一个例子看起来像这样: 帐户无法登录。
主题: 安全ID:NULL SID 用户名: - 帐户域:- 登录ID:0x0
登录类型:3
登录失败的帐户: 安全ID:NULL SID 帐户名称:asadmin 帐户域:
故障信息: 失败原因:未知的用户名或错误的密码。 状态:0xC000006D 子状态:0xC0000064
工艺信息: 呼叫者进程ID:0x0 呼叫者进程名称:-
网络信息: 工作站名称:- 源网络地址:45.145.66.72 源端口:0
详细的身份验证信息: 登录过程:NtLmSsp 身份验证程序包:NTLM 转运服务:- 程序包名称(仅NTLM):- 密钥长度:0
登录请求失败时,将生成此事件。它是在尝试访问的计算机上生成的。
主题字段指示请求登录的本地系统上的帐户。这是最常见的服务,例如服务器服务,或本地进程,例如Winlogon.exe或Services.exe。
“登录类型”字段指示请求的登录类型。最常见的类型是2(交互式)和3(网络)。
“进程信息”字段指示系统上哪个帐户和进程请求登录。
“网络信息”字段指示远程登录请求的来源。工作站名称并非始终可用,在某些情况下可能会留空。
身份验证信息字段提供有关此特定登录请求的详细信息。 -转换的服务指示哪些中间服务已参与此登录请求。 -程序包名称指示在NTLM协议中使用了哪个子协议。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。