标签:
文章 ID:305822 - 上次审阅时间:09/22/2006 03:29:00 - 修订版本: 2.0
kberrmsg kbbug kbfix kbshell kbenv kbui kbwinxpsp1fix KB305822
各位,大家好!
我公司域服务器中安全日志中,全部是审核失败的错误日志。一分钟内100多条审核失败的错误日志。我前天发现的。
具体情况如下:
事件类型: 审核失败 事件来源: Security 事件 ID: 680 事件 ID: 529 事件 ID: 560
事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2010-10-11
事件: 3:00:00
用户: NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: cnc1
源工作站: CHINA
错误代码: 0xC000006A
还有 675,672,539等的审计,全都失败。
这些都是关于用户账户,登录/注销的审计。
请问,怎么解决?
谢谢!
您好!
关于529和680的错误信息,与用户登录失败有关。请您确认cnc1是域用户还是本地用户,如果是本地帐号的话,这是由于审核日志被开启的原因所导致的。0xC000006A错误表示登录时键入了错误的密码,该错误可以安全的忽略。
另外,请您帮忙确认,是在哪台计算机上记录了529和680的错误信息的,如果是在Windows XP的计算机上发现这些错误日志的话,请您参考以下信息。
启用欢迎屏幕时记录了失败事件
http://support.microsoft.com/?id=305822
更多关于审核日志的信息请您参考以下文章:
Audit account logon events
希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。
Tom Zhang 张一平
一般是客户端中了病毒,然后通过暴力破解的方式猜测用户密码。如果只有这个用户 cnc1的日志的话,那么最有可能就是该用户的加域计算机有病毒,或者使用该帐号作为服务帐号/操作帐号的应用程序所在的计算机。
这个问题在企业中还算普遍,影响也小,但是需要值得关注。和你的信息安全管理员一起评估企业内的密码策略,至少需要保证复杂度/长度的要求和定期更改。保证特权帐号(域/企业管理员和其他服务帐号)的密码安全。
至于普通用户的帐号,可以从客户端着手解决。
您好!
关于529和680的错误信息,与用户登录失败有关。请您确认cnc1是域用户还是本地用户,如果是本地帐号的话,这是由于审核日志被开启的原因所导致的。0xC000006A错误表示登录时键入了错误的密码,该错误可以安全的忽略。
另外,请您帮忙确认,是在哪台计算机上记录了529和680的错误信息的,如果是在Windows XP的计算机上发现这些错误日志的话,请您参考以下信息。
启用欢迎屏幕时记录了失败事件
http://support.microsoft.com/?id=305822
更多关于审核日志的信息请您参考以下文章:
Audit account logon events
希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。
Tom Zhang 张一平
一般是客户端中了病毒,然后通过暴力破解的方式猜测用户密码。如果只有这个用户 cnc1的日志的话,那么最有可能就是该用户的加域计算机有病毒,或者使用该帐号作为服务帐号/操作帐号的应用程序所在的计算机。
这个问题在企业中还算普遍,影响也小,但是需要值得关注。和你的信息安全管理员一起评估企业内的密码策略,至少需要保证复杂度/长度的要求和定期更改。保证特权帐号(域/企业管理员和其他服务帐号)的密码安全。
至于普通用户的帐号,可以从客户端着手解决。
标签:
原文地址:http://www.cnblogs.com/nixiwang/p/4694363.html
