云服务器或本地电脑出现大量事件ID为“4625”的解决办法

[全站通告]如需人工一对一付费服务(业务),请加微信 2589053300 进行沟通处理-非诚勿扰

最近有客户说在Windows安全日志(windows 2008R2 64位)中有大量的网络登录失败记录(事件ID为4625),大量的外网IP尝试后台登录我的计算机,感觉公司的网络服务器不安全了,问如何的能有效的防治或者不出现这个问题;具体看图;

知道了症状,我们就来用啥方式方法来解决一下:

1:禁用Server服务,在“网络和共享中心”中,关闭所有共享----->无效。

2:编写一个powershell脚本,用来阻止外网IP----->这个不治本。

$arrayT1=New-Object 'string[,]' 1,1;
$arrayList=New-Object System.Collections.ArrayList;
$arrayList.Clear();
$stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream
[regex]::matches($stream, '(\d+\.){3}\d+') | %{
$count=$arrayList.Count;
if ($count -ge 1) {
$b=0;
for ($i=0;$i -lt $count;$i++) {
if ($arrayList[$i][0] -eq [string]$_.Value) {
$arrayList[$i][1]+=1;
break;
}
else {
$b=$i+1;
}
}
if ($b -eq $count) {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
}
else {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
} | Out-Null;
$count1=$arrayList.Count;
$array1=New-Object 'string[]' $count1;
for ($i=0;$i -lt $count1;$i++) {
$int1=0;
$int2=1;
for ($j=0;$j -lt $arrayList.Count;$j++){
if ($arrayList[$j][1] -gt $int2) {
$int2=$arrayList[$j][1];
$int1=$j;
}
}
$str1="";
$c=16 - [string]$arrayList[$int1][0].length;
for ($k=0;$k -lt $c;$k++) {
$str1=$str1 + " ";
}
$array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1];
$str2="ForbiddenIP:" + $arrayList[$int1][0];
New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null;
$arrayList.Remove($arrayList[$int1]);
}
"Total:" + $count1;
$array1;

3:禁用3389,445,23,135,137,138,139,445号端口

如若要使用这些端口3389(请更改端口号),尽量把135,137,138,139,445号端口禁用

4、防火墙操作

PS延伸阅读:

每一个失败的尝试登录本地计算机无论登录类型,用户的位置或类型的帐户。

主题:

标识要求的账户登录的用户,而不是只是尝试登录。主题通常是Null或服务主体之一,通常不会有用的信息。看到刚刚loffed新登录到系统中。

登录类型:

这是一个有价值的信息,因为它告诉你用户登录:

登录类型

描述

2

互动(键盘和屏幕的登录系统)

3

网络(即连接到共享文件夹从其他地方在这台电脑上网络)

4

批处理(即计划任务)

5

服务(服务启动)

7

解锁密码保护屏幕保护程序(即unnattended工作站)

8

NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS)

9

NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。

10

RemoteInteractive(终端服务,远程桌面或远程协助)

11

CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络)

登录失败:占

这个标识的用户试图登录,但都以失败告终。

·        安全ID:SID试图登录的帐户。这个空白或NULL SID如果没有确定一个有效的账户——例如,指定的用户名不对应一个有效帐号登录名称。

·        帐户名称:中指定的账户登录名登录尝试。

·        帐户域:域或——本地账户的情况——计算机名称。

故障信息:
部分解释了为什么登录失败。

·        失败原因:文本的解释登录失败。

·        地位和子状态:十六进制代码解释登录失败的原因。有时子状态是,有时不是。下面是我们发现的代码。

地位和子状态码

描述(不针对失败的原因:“检查)

0 xc0000064

用户名不存在

0 xc000006a

用户名是正确的,但密码是错误的

0 xc0000234

用户当前锁定

0 xc0000072

帐户目前禁用

0 xc000006f

用户试图登录天的外周或时间限制

0 xc0000070

工作站的限制

0 xc0000193

帐号过期

0 xc0000071

过期的密码

0 xc0000133

时钟之间的直流和其他电脑太不同步

0 xc0000224

在下次登录用户需要更改密码

0 xc0000225

显然一个缺陷在Windows和不是一个风险

0 xc000015b

没有被授予该用户请求登录类型(又名登录正确的)在这台机器

0 xc000006d

似乎是由于系统问题和不安全。

如需博主协助处理(收费),请加微信2589053300(非诚勿扰) --更多请关注:老梁`s Blog

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

支付宝赞助
微信赞助

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net

转载请注明-老梁`s Blog(老梁博客) » 云服务器或本地电脑出现大量事件ID为“4625”的解决办法

发表评论

本站承接,网站推广(SEM,SEO),软件的安装的安装与调试,服务器的推荐以及配置,APP的开发与维护,网络或者web维护;财务软件,客户管理系统,人力资源,超市POS,医药管理,服务器安全,ecshop,金蝶,用友,管家婆;

立即查看 了解详情