1
Windows Serverのイベントビューアーでは、イベントID 4625のログが約30,000件以上見つかりました。 1つの詳細を提供する。それぞれ異なるログオンタイプとプロセス名で似ています。ファイアウォールでは、3つのRDP、DB、App Serverを除くすべてのポートをブロックしています。その背後にある理由は何ですか?誰かがサーバーを攻撃してサーバーをダウンさせているように感じます。本当ですか? この脅威をどのように制御するのですか? 100分ごとにイベントが生成されます。Windowsサーバーのセキュリティ
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2016-04-02T04:59:46.124337300Z" />
<EventRecordID>428136</EventRecordID>
<Correlation />
<Execution ProcessID="468" ThreadID="532" />
<Channel>Security</Channel>
<Computer>application-server</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">APPLICATION-SER$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">APPLICATION-SER</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">10</Data>
<Data Name="LogonProcessName">User32</Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">APPLICATION-SER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xd4c</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">198.217.30.23</Data>
<Data Name="IpPort">55751</Data>
</EventData>
</Event>
私たちはIPとその他の強力な対策も禁止しています。ありがとう。 – arvindwill