云服务器或本地电脑出现大量事件ID为“4625”的解决办法
[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!
最近有客户说在Windows安全日志(windows 2008R2 64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络服务器不安全了,问如何的能有效的防治或者不出现这个问题;具体看图;
知道了症状,我们就来用啥方式方法来解决一下:
1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。
2:编写一个powershell脚本,用来阻止外网IP----->这个不治本。
$arrayT1=New-Object 'string[,]' 1,1; $arrayList=New-Object System.Collections.ArrayList; $arrayList.Clear(); $stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream [regex]::matches($stream, '(\d+\.){3}\d+') | %{ $count=$arrayList.Count; if ($count -ge 1) { $b=0; for ($i=0;$i -lt $count;$i++) { if ($arrayList[$i][0] -eq [string]$_.Value) { $arrayList[$i][1]+=1; break; } else { $b=$i+1; } } if ($b -eq $count) { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } else { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } | Out-Null; $count1=$arrayList.Count; $array1=New-Object 'string[]' $count1; for ($i=0;$i -lt $count1;$i++) { $int1=0; $int2=1; for ($j=0;$j -lt $arrayList.Count;$j++){ if ($arrayList[$j][1] -gt $int2) { $int2=$arrayList[$j][1]; $int1=$j; } } $str1=""; $c=16 - [string]$arrayList[$int1][0].length; for ($k=0;$k -lt $c;$k++) { $str1=$str1 + " "; } $array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1]; $str2="ForbiddenIP:" + $arrayList[$int1][0]; New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null; $arrayList.Remove($arrayList[$int1]); } "Total:" + $count1; $array1;
3:禁用3389,445,23,135,137,138,139,445号端口
如若要使用这些端口3389(请更改端口号),尽量把135,137,138,139,445号端口禁用;
4、防火墙操作
PS延伸阅读:
每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。
主题:
标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。
登录类型:
这是一个有价值的信息,因为它告诉你用户登录:
登录类型 |
描述 |
2 |
互动(键盘和屏幕的登录系统) |
3 |
网络(即连接到共享文件夹从其他地方在这台电脑上网络) |
4 |
批处理(即计划任务) |
5 |
服务(服务启动) |
7 |
解锁密码保护屏幕保护程序(即unnattended工作站) |
8 |
NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS) |
9 |
NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。 |
10 |
RemoteInteractive(终端服务,远程桌面或远程协助) |
11 |
CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络) |
登录失败:占
这个标识的用户试图登录,但都以失败告终。
· 安全ID:SID试图登录的帐户。这个空白或NULL SID如果没有确定一个有效的账户——例如,指定的用户名不对应一个有效帐号登录名称。
· 帐户名称:中指定的账户登录名登录尝试。
· 帐户域:域或——本地账户的情况——计算机名称。
故障信息:
部分解释了为什么登录失败。
· 失败原因:文本的解释登录失败。
· 地位和子状态:十六进制代码解释登录失败的原因。有时子状态是,有时不是。下面是我们发现的代码。
地位和子状态码 |
描述(不针对失败的原因:“检查) |
0 xc0000064 |
用户名不存在 |
0 xc000006a |
用户名是正确的,但密码是错误的 |
0 xc0000234 |
用户当前锁定 |
0 xc0000072 |
帐户目前禁用 |
0 xc000006f |
用户试图登录天的外周或时间限制 |
0 xc0000070 |
工作站的限制 |
0 xc0000193 |
帐号过期 |
0 xc0000071 |
过期的密码 |
0 xc0000133 |
时钟之间的直流和其他电脑太不同步 |
0 xc0000224 |
在下次登录用户需要更改密码 |
0 xc0000225 |
显然一个缺陷在Windows和不是一个风险 |
0 xc000015b |
没有被授予该用户请求登录类型(又名登录正确的)在这台机器 |
0 xc000006d |
似乎是由于系统问题和不安全。 |
问题未解决?付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信
所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!