日志中大量審核失敗，但源網路地址是空的，不知道怎么處理，求解答~-有解無憂

這是憑據驗證里的資訊
計算機試圖驗證帳戶的憑據。

驗證包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶: ADMINISTRATOR
源作業站:
錯誤代碼: 0xC0000064
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
  <EventID>4776</EventID>
  <Version>0</Version>
  <Level>0</Level>
  <Task>14336</Task>
  <Opcode>0</Opcode>
  <Keywords>0x8010000000000000</Keywords>
  <TimeCreated SystemTime="2016-12-11T15:14:16.178275000Z" />
  <EventRecordID>230854</EventRecordID>
  <Correlation />
  <Execution ProcessID="480" ThreadID="2072" />
  <Channel>Security</Channel>
  <Computer>iZfre9ahhci2izZ</Computer>
  <Security />
  </System>
- <EventData>
  <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
  <Data Name="TargetUserName">ADMINISTRATOR</Data>
  <Data Name="Workstation" />
  <Data Name="Status">0xc0000064</Data>
  </EventData>
  </Event>

這里是登錄里的資訊
帳戶登錄失敗。

使用者:
安全 ID: NULL SID
帳戶名: -
帳戶域: -
登錄 ID: 0x0

登錄型別: 3

登錄失敗的帳戶:
安全 ID: NULL SID
帳戶名: ADMINISTRATOR
帳戶域:

失敗資訊:
失敗原因: 未知用戶名或密碼錯誤。
狀態: 0xC000006D
子狀態: 0xC0000064

行程資訊:
呼叫方行程 ID: 0x0
呼叫方行程名: -

網路資訊:
作業站名:
源網路地址: -
源埠: -

詳細身份驗證資訊:
登錄行程: NtLmSsp
身份驗證資料包: NTLM
傳遞服務: -
資料包名(僅限 NTLM): -
密鑰長度: 0

登錄請求失敗時在嘗試訪問的計算機上生成此事件。

像上面這樣的資訊有大量的出現，賬戶名有時候也會變成其他的，感覺就像是在暴力破解，但是源網路資訊里是空的，請問是怎么回事？還請幫忙

補充：這是2012D2R2服務器

uj5u.com熱心網友回復：

我也遇到了同樣的問題，地址和埠號都為空

uj5u.com熱心網友回復：

樓主是怎么解決的？

uj5u.com熱心網友回復：

遇到了同樣的問題，本人非專業人士，不太懂。
開始是臨時隔一段時間改一次密碼。。。
后面有時間琢磨了一下，既然有TCP連接就肯定能找到IP，然后就開始了嘗試：
首先是嘗試的360的網路連接，好吧，直接就能看到3389的TCP連接情況。
后面的就簡單了，將出現的例外連接的IP加入到防火墻阻止（關鍵字：入站規則-..-自定義-..-作用域-..-遠程IP）。

不過總不能有事沒事就開著360盯著吧。然后就搜了一段C# 代碼做了個簡單的控制臺應用程式，每秒監測一次指定埠，記錄連接資訊并統計連接時長，然后保存到檔案。
后面只需要定期從檔案中提取出非法IP統一處理就行。

核心代碼見：
https://www.cnblogs.com/emanlee/archive/2013/02/01/2889612.html



public static void GetTcpConnections() 

{ 

	IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); 



	TcpConnectionInformation[] connections = properties.GetActiveTcpConnections(); 

	foreach (TcpConnectionInformation t in connections) 

	{ 

		Console.Write("Local endpoint: {0} ", t.LocalEndPoint.ToString()); 

		Console.Write("Remote endpoint: {0} ", t.RemoteEndPoint.ToString()); 

		Console.WriteLine("{0}", t.State); 

	} 

	Console.WriteLine(); 

	Console.ReadLine(); 

}

uj5u.com熱心網友回復：

參考 3 樓 Losiesta 的回復:

遇到了同樣的問題，本人非專業人士，不太懂。
開始是臨時隔一段時間改一次密碼。。。
后面有時間琢磨了一下，既然有TCP連接就肯定能找到IP，然后就開始了嘗試：
首先是嘗試的360的網路連接，好吧，直接就能看到3389的TCP連接情況。
后面的就簡單了，將出現的例外連接的IP加入到防火墻阻止（關鍵字：入站規則-..-自定義-..-作用域-..-遠程IP）。

不過總不能有事沒事就開著360盯著吧。然后就搜了一段C# 代碼做了個簡單的控制臺應用程式，每秒監測一次指定埠，記錄連接資訊并統計連接時長，然后保存到檔案。
后面只需要定期從檔案中提取出非法IP統一處理就行。

核心代碼見：
https://www.cnblogs.com/emanlee/archive/2013/02/01/2889612.html
public static void GetTcpConnections() 

{ 

	IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); 



	TcpConnectionInformation[] connections = properties.GetActiveTcpConnections(); 

	foreach (TcpConnectionInformation t in connections) 

	{ 

		Console.Write("Local endpoint: {0} ", t.LocalEndPoint.ToString()); 

		Console.Write("Remote endpoint: {0} ", t.RemoteEndPoint.ToString()); 

		Console.WriteLine("{0}", t.State); 

	} 

	Console.WriteLine(); 

	Console.ReadLine(); 

}

當然應該有專業的防火墻之類自動做類似的作業，要是有專業人士，望普及一下相關安全知識。

轉載請註明出處，本文鏈接：https://www.uj5u.com/caozuo/104116.html

標籤：Windows Server

上一篇：2008R2服務器IIS配置好之后外網無法訪問，請大神指點指點！

下一篇：請教誰知道好用的服務器用WIN2003系統，