Question : Échec d'audit sur Windows 2008

J'ai reçu un nouveau serveur de Dell pour notre société hier. Je l'ai établie au commencement pour la laisser fonctionner pendant une période de brûlure de 5 jours. J'ai installé Windows DST 2008 SP2, conducteurs de matériel, protection 11.0.5 de point final de Symantec et Adobe Acrobat. Je n'ai installé aucune mise à jour additionnelle de Microsoft autres que SP2 qui est venu dans le téléchargement de médias. l'environnement du

The se compose d'un serveur 2000 de victoire (dans le domaine et le C.C), gagnent le serveur 2003 (dans le domaine) et 20 postes de travail de domaine courant XP pro. Tous les systèmes courent la version actuelle de la protection de point final de Symantec. Le serveur n'est pas dans le domaine encore. C'est un standaolne sans le matin de l'ANNONCE installed.

This que j'ai vérifié les journaux système et ai trouvé les événements multiples que les ressembler à quelqu'un rectifie pour entailler dans lui. Voici les événements que j'ai trouvés. Me faire savoir ce que je devrais nom de do.

Log :      Security
Source :        Microsoft-Windows-Security-Auditing
Date :          5/22/2010 7h47 : 35 identification d'AM
Event :      catégorie de 4625
Task : Logon
Level :         Information
Keywords :      Audit Failure
User :          N/A
Computer :      server8
Description : compte du
An échoué à logon.

Subject : Identification de sécurité du
:                nom de compte de server8 \ Administrator
:                Domaine de compte d'Administrator
:                identification d'ouverture de server8
:                type de 0x3824b82

Logon :                        2

expliquent qui ouvrent une session Failed : Identification de sécurité du
:                Nom de compte NUL de SID
:                Domaine de compte d'Administrator
: l'information du

Failure : Raison d'échec du
:                Nom d'utilisateur inconnu ou mauvais statut de password.
:                        statut secondaire de 0xc000006d
:                l'information de 0xc000006a

Process : Identificateur de processus de visiteur du
:        nom de processus de visiteur de 0xda8
:        l'information du

Network de C:\Windows\explorer.exe : Nom de poste de travail du
:        adresse réseau de source de server8
:        - port de source du
:                - L'information d'authentification du

Detailed : Processus d'ouverture du
:                Paquet d'authentification d'Advapi
:        MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
a transité des services :        - longueur principale du nom de paquet du
(NTLM seulement) :-
:                l'événement de 0

This est produit quand une demande d'ouverture échoue. Il est produit sur l'ordinateur où le
access était des domaines d'attempted.

The indiquent le compte sur le système local qui a demandé l'ouverture. le
This est le plus généralement un service tel que le service de serveur, ou un processus local tel que le
Winlogon.exe ou le type champ d'ouverture de Services.exe.

The indique le genre d'ouverture qui a été demandée. Le
types sont 2 (interactif) et 3 (réseau). les zones d'informations de processus du

The indiquent que ce que le compte et le processus sur le système ont demandé les zones d'informations de réseau du
the logon.

The indiquent où une demande d'ouverture à distance a commencé. le nom du
Workstation n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de ce
logon request.
- services transités indiquer quels services intermédiaires ont participé à ce
logon request.
- nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef du
session n'était requested.
Event Xml : rel= " nofollow " de _blank le " de " target= " de http://schemas.microsoft.com/win/2004/08/events/event de " href= " de le osoft.com/win/2004/08/events/event " Guid= " {54849625-5478-4994-a5ba-3e3b0328c30d} « />
4625
0
0
12544
0
0x8010000000000000ds>
de http://schemas.micr du
du >
S-1-5-21-3628322202-2619417080-1902112590-500
< nom de données = " SubjectUserName " >Administrator
< nom de données = " SubjectDomainName " >server8ta>
< nom de données = " SubjectLogonId " >0x3824b82a>
< nom de données = " TargetUserSid " >S-1-0-0
< nom de données = " TargetUserName " >Administrator</Data>
< nom de données = " TargetDomainName " >

< nom de données = " statut " >0xc000006dData>
< nom de données = "FailureReason " >%%2313
< nom de données = " SubStatus " >0xc000006a
< nom de données = " LogonType " >2
< nom de données = " >Advapi
< nom de données = " >MICROSOFT_AUTHENTICATION_PACKAGE_V1_0>
eName "/> < nom de données = " >server8>
< nom de données = " >-
< nom de données = " LmPackageName " >-ta>
< nom de données = " KeyLength " >0
< nom de données = " ProcessId " >0xda8ta>
< nom de données = " C:\Wind/>ows \ explorer.exeta>
< nom de données = " IP address " >-
< nom de données = " IpPort "nom de >-



Log :      Security
Source :        Microsoft-Windows-Security-Auditing
Date :          5/21/2010 11h38 : Identification du
Event de 15h du matin :      catégorie de 4625
Task : Logon
Level :         Information
Keywords :      Audit Failure
User :          N/A
Computer :      server8
Description : compte du
An échoué à logon.

Subject : Identification de sécurité du
:                nom de compte de server8 \ Administrator
:                Domaine de compte d'Administrator
:                identification d'ouverture de server8
:                type de 0x26a59

Logon :                        2

expliquent qui ouvrent une session Failed : Identification de sécurité du
:                Nom de compte NUL de SID
:                Domaine de compte d'Administrator
:                l'information de server8

Failure : Raison d'échec du
:                Nom d'utilisateur inconnu ou mauvais statut de password.
:                        statut secondaire de 0xc000006d
:                l'information de 0xc000006a

Process : Identificateur de processus de visiteur du
:        nom de processus de visiteur de 0xb34
:        l'information du c.exe

Network de C:\Windows\SysWOW64\msiexe : Nom de poste de travail du
:        adresse réseau de source de server8
:        - port de source du
:                - L'information d'authentification du

Detailed : Processus d'ouverture du
:                Paquet d'authentification d'Advapi
:        Negotiate
a transité des services :        - longueur principale du nom de paquet du
(NTLM seulement) :-
:                l'événement de 0

This est produit quand une demande d'ouverture échoue. Il est produit sur l'ordinateur où le
access était des domaines d'attempted.

The indiquent le compte sur le système local qui a demandé l'ouverture. le
This est le plus généralement un service tel que le service de serveur, ou un processus local tel que le
Winlogon.exe ou le type champ d'ouverture de Services.exe.

The indique le genre d'ouverture qui a été demandée. Le
types sont 2 (interactif) et 3 (réseau). les zones d'informations de processus du

The indiquent que ce que le compte et le processus sur le système ont demandé les zones d'informations de réseau du
the logon.

The indiquent où une demande d'ouverture à distance a commencé. le nom du
Workstation n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de ce
logon request.
- services transités indiquer quels services intermédiaires ont participé à ce
logon request.
- nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef du
session n'était requested.
Event Xml : rel= " nofollow " de _blank le » de » target= » de http://schemas.microsoft.com/win/2004/08/events/event de " href= " de le osoft.com/win/2004/08/events/event " 38 : 15.422Z "


de/>
Security>
server8r>
/> < nom de données = " SubjectUserSid " >S-1-5-21-3628322202-2619417080-1902112590-500
< nom de données = " SubjectUserName " >Administrator
< nom de données = " SubjectDomainName " >server8ta>
< nom de données = " SubjectLogonId " >0x26a59
< nom de données = " TargetUserSid " >S-1-0-0
< nom de données = " TargetUserName " >Administrator</Data>
< nom de données = " TargetDomainName " >server8a>
< nom de données = " statut " >0xc000006dData>
< nom de données = "FailureReason " >%%2313
< nom de données = " SubStatus " >0xc000006a
< nom de données = " LogonType " >2
< nom de données = " >Advapi
< nom de données = " >Negotiateta>
eName "/> < nom de données = " >server8>
< nom de données = " >-
< nom de données = " LmPackageName " >-ta>
< nom de données = " KeyLength " >0
< nom de données = " ProcessId " >0xb34ta>
< nom de données = " C:\Wind/>ows \ SysWOW64 \ msiexec.exe>
< nom de données = " IP address " >-
< nom de données = " IpPort "nom de >-


Log :      Security
Source :        Microsoft-Windows-Security-Auditing
Date :          5/21/2010 11h33 : Identification du
Event de 5h du matin :      catégorie de 4625
Task : Logon
Level :         Information
Keywords :      Audit Failure
User :          N/A
Computer :      server8
Description : compte du
An échoué à logon.

Subject : Identification de sécurité du
:                nom de compte de server8 \ Administrator
:                Domaine de compte d'Administrator
:                identification d'ouverture de server8
:                type de 0x26a59

Logon :                        3

expliquent qui ouvrent une session Failed : Identification de sécurité du
:                Nom de compte NUL de SID
:                Domaine de compte de Guest
:                l'information de server8

Failure : Raison d'échec du
:                Du compte courant statut disabled.
:                        statut secondaire de 0xc000006e
:                l'information de 0xc0000072

Process : Identificateur de processus de visiteur du
:        nom de processus de visiteur de 0xb7c
:        l'information du

Network de C:\Windows\explorer.exe : Nom de poste de travail du
:        adresse réseau de source de server8
:        - port de source du
:                - L'information d'authentification du

Detailed : Processus d'ouverture du
:                Paquet d'authentification d'Advapi
:        Negotiate
a transité des services :        - longueur principale du nom de paquet du
(NTLM seulement) :-
:                l'événement de 0

This est produit quand une demande d'ouverture échoue. Il est produit sur l'ordinateur où le
access était des domaines d'attempted.

The indiquent le compte sur le système local qui a demandé l'ouverture. le
This est le plus généralement un service tel que le service de serveur, ou un processus local tel que le
Winlogon.exe ou le type champ d'ouverture de Services.exe.

The indique le genre d'ouverture qui a été demandée. Le
types sont 2 (interactif) et 3 (réseau). les zones d'informations de processus du

The indiquent que ce que le compte et le processus sur le système ont demandé les zones d'informations de réseau du
the logon.

The indiquent où une demande d'ouverture à distance a commencé. le nom du
Workstation n'est pas toujours disponible et peut être laissé dans certains cas. les zones d'informations blanches d'authentification du

The fournissent les informations détaillées au sujet de ce
logon request.
- services transités indiquer quels services intermédiaires ont participé à ce
logon request.
- nom de paquet indique quel secondaire-protocole a été employé parmi le NTLM protocols.
- la longueur principale indique la longueur de la clef de session produite. Ce sera 0 si aucune clef du
session n'était requested.
Event Xml : rel= " nofollow " de _blank le " de " target= " de http://schemas.microsoft.com/win/2004/08/events/event de " href= " de le osoft.com/win/2004/08/events/event " Guid= " {54849625-5478-4994-a5ba-3e3b0328c30d} « />
4625
0
0
12544
0
0x8010000000000000ds>
de http://schemas.micr du
du >
S-1-5-21-3628322202-2619417080-1902112590-500
< nom de données = " SubjectUserName " >Administrator
< nom de données = " SubjectDomainName " >server8ta>
< nom de données = " SubjectLogonId " >0x26a59
< nom de données = " TargetUserSid " >S-1-0-0
< nom de données = " TargetUserName " >Guest
< nom de données = " TargetDomainName " >server8a>
< nom de données = " statut " >0xc000006eData>
< nom de données = " FailureReason" >%%2310
< nom de données = " SubStatus " >0xc0000072
< nom de données = " LogonType " >3
< nom de données = " >Advapi
< nom de données = " >Negotiateta>
eName "/> < nom de données = " >server8>
< nom de données = " >-
< nom de données = " LmPackageName " >-ta>
< nom de données = " KeyLength " >0
< nom de données = " ProcessId " >0xb7cta>
< nom de données = " C:\Wind/>ows \ explorer.exeta>
< nom de données = " IP address " >-
< nom de données = " IpPort " >-


Log :      Security
Source :        Microsoft-Windows-Security-Auditing
Date :          5/21/2010 10h45 : Identification du
Event de 17h du matin :      catégorie de 5032
Task : L'autre système Events
Level :         Information
Keywords :      Audit Failure
User :          N/A
Computer :      server8
Description : le mur à l'épreuve du feu du
Windows ne pouvait pas informer l'utilisateur qu'il a bloqué une application des raccordements entrants du
accepting sur le code de network.

Error :        2
Event Xml : rel= " nofollow " de _blank » de » target= » de http://schemas.microsoft.com/win/2004/08/events/event de " href= " de osoft.com/win/2004/08/events/event "
du >
: 45 : "
de/>
315ecordID>
" de 17.443Z 692 " ThreadID= " 1588 "


de/>
Security>
server8r>
/> < nom de données = "

de >2

d'ErrorCode " class= de

Réponse : Échec d'audit sur Windows 2008

quelqu'un essaye à la RDP et aux commandes de réseau de carte à votre nouveau serveur, est-ce qu'il est quelqu'un à l'intérieur de votre réseau ou est votre nouveau serveur à l'intérieur d'un DMZ ?

penser que vous avez de plus grands problèmes que juste ce un serveur…