云服務(wù)器或本地電腦出現(xiàn)大量事件ID為“4625”的解決辦法

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

最近有客戶(hù)說(shuō)在Windows安全日志（windows 2008R2 64位）中有大量的網(wǎng)絡(luò)登錄失敗記錄（事件ID為4625），大量的外網(wǎng)IP嘗試后臺(tái)登錄我的計(jì)算機(jī)，感覺(jué)公司的網(wǎng)絡(luò)服務(wù)器不安全了，問(wèn)如何的能有效的防治或者不出現(xiàn)這個(gè)問(wèn)題；具體看圖；

知道了癥狀，我們就來(lái)用啥方式方法來(lái)解決一下：

1：禁用Server服務(wù)，在“網(wǎng)絡(luò)和共享中心”中，關(guān)閉所有共享----->無(wú)效。

2：編寫(xiě)一個(gè)powershell腳本，用來(lái)阻止外網(wǎng)IP----->這個(gè)不治本。

$arrayT1=New-Object 'string[,]' 1,1;
$arrayList=New-Object System.Collections.ArrayList;
$arrayList.Clear();
$stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream
[regex]::matches($stream, '(\d+\.){3}\d+') | %{
$count=$arrayList.Count;
if ($count -ge 1) {
$b=0;
for ($i=0;$i -lt $count;$i++) {
if ($arrayList[$i][0] -eq [string]$_.Value) {
$arrayList[$i][1]+=1;
break;
}
else {
$b=$i+1;
}
}
if ($b -eq $count) {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
}
else {
$arrayT1=($_.Value,1);
$arrayList.add($arrayT1);
}
} | Out-Null;
$count1=$arrayList.Count;
$array1=New-Object 'string[]' $count1;
for ($i=0;$i -lt $count1;$i++) {
$int1=0;
$int2=1;
for ($j=0;$j -lt $arrayList.Count;$j++){
if ($arrayList[$j][1] -gt $int2) {
$int2=$arrayList[$j][1];
$int1=$j;
}
}
$str1="";
$c=16 - [string]$arrayList[$int1][0].length;
for ($k=0;$k -lt $c;$k++) {
$str1=$str1 + " ";
}
$array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1];
$str2="ForbiddenIP:" + $arrayList[$int1][0];
New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null;
$arrayList.Remove($arrayList[$int1]);
}
"Total:" + $count1;
$array1;

3：禁用3389,445,23,135,137,138,139,445號(hào)端口

如若要使用這些端口3389（請(qǐng)更改端口號(hào)），盡量把135,137,138,139,445號(hào)端口禁用；

4、防火墻操作

PS延伸閱讀：

每一個(gè)失敗的嘗試登錄本地計(jì)算機(jī)無(wú)論登錄類(lèi)型,用戶(hù)的位置或類(lèi)型的帳戶(hù)。

主題:

標(biāo)識(shí)要求的賬戶(hù)登錄的用戶(hù),而不是只是嘗試登錄。主題通常是Null或服務(wù)主體之一,通常不會(huì)有用的信息?？吹絼倓俵offed新登錄到系統(tǒng)中。

登錄類(lèi)型:

這是一個(gè)有價(jià)值的信息,因?yàn)樗嬖V你用戶(hù)登錄:

登錄失敗:占

這個(gè)標(biāo)識(shí)的用戶(hù)試圖登錄,但都以失敗告終。

·????????安全I(xiàn)D:SID試圖登錄的帳戶(hù)。這個(gè)空白或NULL SID如果沒(méi)有確定一個(gè)有效的賬戶(hù)——例如,指定的用戶(hù)名不對(duì)應(yīng)一個(gè)有效帳號(hào)登錄名稱(chēng)。

·????????帳戶(hù)名稱(chēng):中指定的賬戶(hù)登錄名登錄嘗試。

·????????帳戶(hù)域:域或——本地賬戶(hù)的情況——計(jì)算機(jī)名稱(chēng)。

故障信息:
部分解釋了為什么登錄失敗。

·????????失敗原因:文本的解釋登錄失敗。

·????????地位和子狀態(tài):十六進(jìn)制代碼解釋登錄失敗的原因。有時(shí)子狀態(tài)是,有時(shí)不是。下面是我們發(fā)現(xiàn)的代碼。

問(wèn)題未解決？付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！