一 window系统安全日记
在使用 Windows 系统时,我们可能会在安全事件日记中发现账户登录失败的记录。当遇到这种情况时,不必惊慌。
今天在检查自己的操作系统日记时发现系统的安全事件记录存在大量的-帐户登录失败日记如下:
从上次清除日记到现在都是记录得满满的远程登陆失败(有4千多条),下面针对这个错误作详细分析。
二 错误日记详细分析
1 事件概述
发生了一次帐户登录失败事件,时间为 2024 年 9 月 24 日。这意味着有一个尝试登录的操作未能成功。
2 使用者信息
- “安全 ID” 为 “NULL SID”,“帐户名” 和 “帐户域” 均为空白,说明请求登录的来源没有有效的安全标识符和明确的帐户信息。
- “登录 ID” 为 “0x0”,通常用于唯一标识一次登录会话,但这里没有提供更多具体的会话信息。
3 登录类型
登录类型为 “3”,代表网络登录。这表明此次登录尝试是通过网络进行的,可能是远程访问或网络服务的登录请求。
4 登录失败的帐户
- “安全 ID” 为 “NULL SID”,再次强调没有有效的安全标识符。
- “帐户名” 为 “user”,表明尝试登录的帐户名为 “user”,但由于未知用户名或密码错误导致登录失败。
- “帐户域” 为空,说明该帐户不属于任何特定的域。
5 失败信息
- “失败原因” 明确指出是未知用户名或密码错误。这是导致登录失败的关键原因,可能是用户输入了错误的用户名或密码,或者帐户不存在。
- “状态” 为 “0xC000006D” 和 “子状态” 为 “0xC0000064”,这些代码可能是 Windows 系统内部用于表示登录失败状态的特定代码,但对于普通用户来说,直接理解为登录失败的状态标识即可。
6 进程信息
- “调用方进程 ID” 为 “0x0”,表示请求登录的进程没有有效的进程标识符。
- “调用方进程名” 为 “-”,说明无法确定请求登录的具体进程名称。
7 网络信息
- “工作站名” 为 “WIN-88BVPKPGLQL”,表明登录请求来自名为 “WIN-88BVPKPGLQL” 的工作站。
- “源网络地址” 为 “127.0.0.1”,这是本地回环地址,说明登录请求可能是从本地计算机发起的,但以网络登录的方式进行尝试。
- “源端口” 为 “0”,没有有效的源端口号,可能是由于登录请求未正确建立连接。
8 详细身份验证信息
- “登录进程” 为 “NtLmSsp”,这是 Windows 用于处理 NTLM(NT LAN Manager)身份验证的进程。
- “身份验证数据包” 为 “NTLM”,表明使用了 NTLM 身份验证协议。
- “传递服务”、“数据包名” 和 “密钥长度” 均为空白或 “0”,说明在此次登录请求中,没有特定的传递服务参与,没有使用特定的 NTLM 子协议,并且没有生成会话密钥。
综上所述,这个安全事件日记记录了一次网络登录失败的情况,尝试登录的帐户名为 “user”,可能由于用户名或密码错误导致失败。请求来自名为 “WIN-88BVPKPGLQL” 的工作站,通过本地回环地址(127.0.0.1)发起,使用了 NTLM 身份验证协议,但没有成功建立连接或进行有效的身份验证。
三 应对策略
通常可以通过以下增加win10安全配置设置项增强电脑安全性:
1. 实施强密码策略
- 打开本地组策略编辑器:
- 按
Win + R
,输入gpedit.msc
,点击确定。
- 按
- 导航到:计算机配置 > Windows 设置 > 安全设置 > 账户策略 > 密码策略
- 配置以下策略:
- 密码必须符合复杂性要求:启用
- 密码长度最小值:设置为14或更长
- 强制密码历史:设置为24
- 密码最长使用期限:设置为90天
- 密码最短使用期限:设置为1天
2. 启用多因素认证(MFA)
对于本地账户,Windows 10本身不直接支持MFA。但可以考虑以下方案:
- 使用Windows Hello:
- 进入 设置 > 账户 > 登录选项
- 设置PIN、指纹或面部识别
- 对于企业环境,考虑使用Azure AD:
- 将Windows 10加入Azure AD
- 在Azure门户中为用户启用MFA
- 第三方MFA解决方案:
- DUO Security
- Authy
- Google Authenticator(需要额外配置)
3. 实施账户锁定策略
- 打开本地组策略编辑器:
- 按
Win + R
,输入gpedit.msc
,点击确定。
- 按
- 导航到:计算机配置 > Windows 设置 > 安全设置 > 账户策略 > 账户锁定策略
- 配置以下策略:
- 账户锁定阈值:设置为5(失败尝试次数)
- 账户锁定时间:设置为30分钟
- 重置账户锁定计数器:设置为30分钟
注意:平衡安全性和可用性时,可以根据组织需求调整这些数值。
额外安全提示
- 定期审核用户账户和权限
- 使用受限的标准用户账户进行日常操作
- 仅在必要时使用管理员账户
- 定期更新Windows和所有已安装的软件
四 结论
这台办公电脑把远程端口映射到了公网为了方便平时可能出现的应急使用,从6月到9月三个月才4千多条可以说非常少(windows的限制,使得枚举的速度太慢太慢了),再看看日记登陆都是以 administrator 与 admin两个为主在尝试爆爆,并没有发现过远程枚举用户名相关事件,结束服服务器的ip分析来源也都不是同一台主机,这也说明可能是学安全的菜鸟在试练,只有方向,还没摸到门槛。这台电脑只有一个比较复杂的用户名称+超级复杂密码,所以这一点是相对安全的,为什么不设置账锁定策略,因为经常处于锁的状态(不断有人登陆)非常不方便。对我来说只有看到这些失败的登陆信息才是安全的,如果某天日记突然不见,或没有登陆日记或者策略变设置更安全了,这才是我最担心的时候,哈哈。