Hallo zusammen,
sobald der BITS Dienst startet wird im Sicherheits Eventlog die ID 4625 protokolliert: "Fehlerhafte Anmeldung (User/PW falsch)". Soweit erstmal eigentlich nicht kritisch.
Allerdings überwachen wir pro aktiv fehlerhafte Anmeldungen, und jedes Mal wird eine Mail generiert die einen Workflow startet - welcher momentan zu fast 100% aus Falschmeldungen besteht.
Diverse andere Lösungsansätze waren bisher erfolglos, im Netz finde ich dazu nur die gleiche Frage, aber keine Lösung,
OS ist blanker Server 2016, mit ein paar GPOs (nichts Außergewöhnliches), es tritt auch auf mehreren Server auf.
Hat jemand eine Idee?
Danke+Gruß
Alex
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 17.11.2016 13:05:29
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: SRV-01
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID:SYSTEM
Kontoname:
SRV-01$
Kontodomäne:
DOMAINNAME
Anmelde-ID:
0x3E7
Anmeldetyp:5
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID:NULL SID
Kontoname:
-
Kontodomäne:
-
Fehlerinformationen:
Fehlerursache:Bei der Anmeldung ist ein Fehler aufgetreten.
Status:
0xC0000073
Unterstatus::
0xC0000073
Prozessinformationen:
Aufrufprozess-ID:0x168
Aufrufprozessname:C:\Windows\System32\svchost.exe
Netzwerkinformationen:
Arbeitsstationsname:-
Quellnetzwerkadresse:-
Quellport:
-
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess:Advapi
Authentifizierungspaket:Negotiate
Übertragene Dienste:-
Paketname (nur NTLM):-
Schlüssellänge:0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens
ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die Prozessinformationen
geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder
für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.