Теплый ламповый форум системных администраторов
Добро пожаловать,
Гость
. Пожалуйста,
войдите
или
зарегистрируйтесь
.
Не получили
письмо с кодом активации
?
1 час
1 день
1 неделя
1 месяц
Навсегда
В теме
В разделе
По форуму
Google
Начало
Правила
Поиск
Вход
Регистрация
Форум системных администраторов
»
IT
»
Windows
(Модераторы:
shs
,
risc
) »
Непонятные Failed Logon с контроллеров домена
« предыдущая тема
следующая тема »
Печать
Страницы: [
1
]
Вниз
Автор
Тема: Непонятные Failed Logon с контроллеров домена (Прочитано 1891 раз)
0 Пользователей и 1 Гость просматривают эту тему.
goro
Старожил
Сообщений: 512
Рейтинг: 0
Пол:
Откуда: Киев
Непонятные Failed Logon с контроллеров домена
«
:
20 ноября 2017, 18:37:06 »
Доброго времени суток.
Обнаружил что с нескольких серверов в домене на контроллеры домена идут неудавшиеся попытки залогинится под Администратором домена
Например
Спойлер
для
скрыто
:
Запрошен билет проверки подлинности Kerberos(TGT).
Сведения об учетной записи:
Имя учетной записи: Администратор
Предоставленное имя сферы: DOMEN.RU
Идентификатор пользователя: NULL SID
Сведения о службе:
Имя службы: krbtgt/DOMEN.RU
Код службы: NULL SID
Сведения о сети:
Адрес клиента: ::ffff:192.168.3.89
Порт клиента: 50274
Дополнительные сведения:
Параметры билета: 0x40810010
Код результата: 0x12
Тип шифрования билета: 0xFFFFFFFF
Тип предварительной проверки подлинности: -
Сведения о сертификате:
Имя поставщика сертификата:
Серийный номер сертификата:
Отпечаток сертификата:
Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.
Типы предварительной проверки подлинности, параметры билета, типы шифрования и коды результата определены в стандарте RFC 4120.
Пример2
Спойлер
для
скрыто
:
Сбой предварительной проверки подлинности Kerberos.
Сведения об учетной записи:
Идентификатор безопасности: DOMEN.RU\Администратор
Имя учетной записи: Администратор
Сведения о службе:
Имя службы: krbtgt/DOMEN.RU
Сведения о сети:
Адрес клиента: ::ffff:192.168.16.2
Порт клиента: 63866
Дополнительные сведения:
Параметры билета: 0x40810010
Код ошибки: 0x18
Тип предварительной проверки подлинности: 2
Сведения о сертификате:
Имя поставщика сертификата:
Серийный номер сертификата:
Отпечаток сертификата:
Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.
Типы предварительной проверки подлинности, параметры билета и коды ошибок определены в стандарте RFC 4120.
Если билет был неправильно сформирован или поврежден при передаче и не может быть расшифрован, многие поля этого события могут отсутствовать.
Попытки залогинится идут постоянно.
Что это, как бороться?
Записан
sirarthur
Старожил
Сообщений: 577
Рейтинг: 5
Пол:
Непонятные Failed Logon с контроллеров домена
«
Ответ #1 :
20 ноября 2017, 18:52:54 »
Цитата: goro от 20 ноября 2017, 18:37:06
Что это
похоже на обычный брутфорс - айпишники у вас в эвенте есть - попробуйте определить кто или что это?
можно берндмауэром заблокировать если это не рабочая станция
Записан
goro
Старожил
Сообщений: 512
Рейтинг: 0
Пол:
Откуда: Киев
Непонятные Failed Logon с контроллеров домена
«
Ответ #2 :
20 ноября 2017, 19:03:02 »
Обнаружил еще такую запись в нетрвриксе
Cause: Pre-authentication information was invalid: usually means bad password.
This entry represents 6 matching events occurring within 10 seconds.
Записан
goro
Старожил
Сообщений: 512
Рейтинг: 0
Пол:
Откуда: Киев
Непонятные Failed Logon с контроллеров домена
«
Ответ #3 :
20 ноября 2017, 19:42:51 »
Похорже брутфорс принял очень массовые масштабы, сайчас вижу такие попытки с многоих внутренних IP.
Под разными учетками.
Проверяю сервера др.вебом, пока пусто.
Записан
Retif
Администраторы
Олдфаг
Сообщений: 9059
Рейтинг: 88
Пол:
Афтар
Откуда: Орёл
Непонятные Failed Logon с контроллеров домена
«
Ответ #4 :
20 ноября 2017, 20:15:21 »
Цитата: goro от 20 ноября 2017, 19:42:51
др.вебом
То еще УГ.
Записан
sirarthur
Старожил
Сообщений: 577
Рейтинг: 5
Пол:
Непонятные Failed Logon с контроллеров домена
«
Ответ #5 :
20 ноября 2017, 22:59:07 »
Цитата: goro от 20 ноября 2017, 19:42:51
очень массовые масштабы
event id полностью покажите.
Может опять какая гадость через МЕДок проползла?
Записан
goro
Старожил
Сообщений: 512
Рейтинг: 0
Пол:
Откуда: Киев
Непонятные Failed Logon с контроллеров домена
«
Ответ #6 :
21 ноября 2017, 12:36:15 »
Account_Lockout_Examiner_Free проверил машину(ы), которые ломятся под учеткой Админстратора...
Результаты проверки таковы
Ума не приложу что это может быть...
Записан
Печать
Страницы: [
1
]
Вверх
« предыдущая тема
следующая тема »
Форум системных администраторов
»
IT
»
Windows
(Модераторы:
shs
,
risc
) »
Непонятные Failed Logon с контроллеров домена