Entrada del registro de eventos extraños - Windows Server 2008

Navega tus respuestas
1

Revisando algunos registros recientemente, y encontré una extraña falla en nuestro Windows 2008 DC. 

An account failed to log on.

Subject:
        Security ID:            NULL SID
        Account Name:           -
        Account Domain:         -
        Logon ID:               0x0

Logon Type:                     3

Account For Which Logon Failed:
        Security ID:            NULL SID
        Account Name:           @
        Account Domain:             

Failure Information:
        Failure Reason:         Unknown user name or bad password.
        Status:                 0xc000006d
        Sub Status:             0xc0000064

Process Information:
        Caller Process ID:      0x0
        Caller Process Name:    -

Network Information:
        Workstation Name:       <REDACTED>
        Source Network Address: <REDACTED>
        Source Port:            4102

¿Alguna idea de qué es esto?

Este fue un ID de evento de 4625, otros fallos cercanos fueron otros 4625 y un 4776.

Antecedentes: controladores de dominio redundantes, LAN pequeña, algunas aplicaciones de software heredadas que pueden usar métodos de autenticación más antiguos en el dominio. Win Server 2008, Win XP SP3.

    
pregunta MToecker 17.11.2011 - 17:47
fuente

2 respuestas

0

0xc0000064 significa que el nombre de usuario en el intento de inicio de sesión no coincidió con una cuenta conocida. Esa sería la parte de "Nombre de usuario desconocido" de "Nombre de usuario desconocido o contraseña incorrecta". ;)

    
respondido por el Nicole Calinoiu 17.11.2011 - 17:58
fuente
0

Lo primero que buscaría es algún servicio instalado para ejecutarse como un usuario que ya no existe, esos apestan.

    
respondido por el StrangeWill 17.11.2011 - 19:05
fuente

Lea otras preguntas en las etiquetas

en ejecución de pila en Windows 7 :: metasploit :: meterpreter :: crypter ejecutable ¿Cómo puedo usar Input Director cuando una máquina tiene VPN en el trabajo?