Security Event 4625 alle 2 Minuten mit Logon Type 2 Interactive
Hallo, hier wieder einmal Rol mit einem Ausflug in Security Log.
Ein Kollege hatte vor kurzem ein Fall, daß an einem Windows 2008 R2 Member Server alle 2 Minuten folgendes Event geloggt bekam:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: MyServer
Description:
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: MyServer$
Account Domain: CONTOSO
Logon ID: 0x3e7
Logon Type: 2
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain: MyServer
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x2a4
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: MyServer
Source Network Address: 127.0.0.1
Source Port: 0
Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Das interessante daran ist die folgende Kombination der Event Informationen, welche wir uns gleich mal im Detail ansehen:
Subject:
Security ID: SYSTEM
Account Name: MyServer$
Logon ID: 0x3e7
Das Security Event wird dem SYSTEM Kontext zugeordnet, also Server Konto MyServer$ , "Logon ID: 0x3e7" ist hardcoded der System Logon Session vorbehalten.
Logon Type: 2
Hierzu ein kleiner Ausflug zu den Logon Types die wir generell klassifizieren:
Maintaining and Monitoring Account Lockout, https://technet.microsoft.com/en-us/library/cc776964(WS.10).aspx
| Logon type | Logon title |
Description |
2 |
Interactive |
A user logged on to this computer. |
3 |
Network |
A user or computer logged on to this computer from the network. |
4 |
Batch |
The batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention. |
5 |
Service |
A service was started by the Service Control Manager. |
7 |
Unlock |
This workstation was unlocked. |
8 |
NetworkCleartext |
A user logged on to this computer from the network. The user's password was passed to the authentication package in its unhashed form. The built-in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext). |
9 |
NewCredentials |
A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections. |
10 |
RemoteInteractive |
A user logged on to this computer remotely using Terminal Services or Remote Desktop. |
11 |
CachedInteractive |
A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials. |
Es handelt sich bei Logon Type: 2 also um eine interaktive Anmeldung direkt an der Konsole des Servers, für RDP haben wir den separaten Logon Tpye “RemoteInteractive”.
Nach Kundenaussage konnte dies jedoch nicht sein, da zu den meisten Events niemand im Serverraum gewesen sein kann. Dazu später...
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain: MyServer
Der Eintrag "Security ID: NULL SID" besagt, daß der eingegebene Benutzername nicht zu einer SID aufgelöst werden konnte. Das ist leicht erklärt, denn “Account Name: “ ist leer, es wurde also kein Kontenname übergeben. "Account Domain: MyServer" ergibt sich aus den Fallback Mechanismus, wenn es als Domain Konto nicht klappt, die lokale SAM zu befragen.
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Die Fehlerstati bedeuten 0xc000006d = STATUS_LOGON_FAILURE und 0xc0000064 = STATUS_NO_SUCH_USER, paßt also gut zum vorigen Absatz.
Process Information:
Caller Process ID: 0x2a4
Caller Process Name: C:\Windows\System32\winlogon.exe
Der Prozess ist winlogon.exe, der lokal ausgeführt wird. Ein weiteres Indiz der lokalen Anmeldung.
Network Information:
Workstation Name: MyServer
Source Network Address: 127.0.0.1
Source Port: 0
Wie schon erwartet ist jetzt auch "Workstation Name: MyServer", also der Server selbst, "Source Network Address: 127.0.0.1" ist die LocalHost Adresse und da es ja nicht wirklich über das Netzwerk kommt, "Source Port: 0" – nochmals ganz klar lokale Anmeldung.
Um das Rätsel aufzulösen – der Kunde hatte im Windows Logon Fenster keinen Benutzernamen/Passwort eingetragen (evtl. Einstellung “DontDisplayLastUserName, Ref . https://technet.microsoft.com/en-us/library/cc779050(WS.10).aspx ), beide Felder waren leer. Es hat auch nicht "jemand" alle 2 Minuten nur die ENTER-Taste betätigt, sondern ein “etwas” – der angeschlossen Tastatur-Switch, wie wir ihn häufig in Serverräumen antreffen. Dieser hätte einen Hänger und sich dann so seltsam verhalten – kein Einzelfall wie uns die Anfrage-Datenbank zeigt, aber ein guter Anlass für einen Blog mit Hintergrundinformationen zum Event 4625, die man hoffentlich auch an anderer Stelle brauchen kann.
Damit weiter frohes Schaffen und viele Grüße, aus dem herbstlich grauen München!
Euer Rol