服务器日志出现大批量 审核失败 日志 NtLmSsp攻击

中下图：

 

帐户登录失败。

使用者:
    安全 ID:        NULL SID
    帐户名:        -
    帐户域:        -
    登录 ID:        0x0

登录类型:            3

登录失败的帐户:
    安全 ID:        NULL SID
    帐户名:        Administrator
    帐户域:        DELL

失败信息:
    失败原因:        未知用户名或密码错误。
    状态:            0xC000006D
    子状态:        0xC000006A

进程信息:
    调用方进程 ID:    0x0
    调用方进程名:    -

网络信息:
    工作站名:    Rdesktop
    源网络地址:    -
    源端口:        -

详细身份验证信息:
    登录进程:        NtLmSsp 
    身份验证数据包:    NTLM
    传递服务:    -
    数据包名(仅限 NTLM):    -
    密钥长度:        0

登录请求失败时在尝试访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。

 

 解决办法：

1。CMDl输入gpedit.msc进入组策略

2。进入Windows设置->安全设置-》本地策略->安全选项，修改以下二项设置，

 

3.1如果你需要使用Windows自带的远程桌面登录请如下这样设置：

　　网络安全: LAN 管理器身份验证级别  设置为：仅发送 NTLMv2 响应

　　网络安全: 限制 NTLM: 传入 NTLM 流量 设置为：拒绝所有域帐户

 　　说明：如果设置为“拒绝所有帐户“有可能远程登录不了，建议选择"拒绝所有域账户”

如下图所示

 

3.2如果你不使用Windows自带的远程桌面登录请如下这样设置：

网络安全: LAN 管理器身份验证级别  设置为：仅发送 NTLMv2 响应/拒绝 LM 和 NTLM

网络安全: 限制 NTLM: 传入 NTLM 流量 设置为：拒绝所帐户

 

 

最好的办法就是不用Windows自带的远登录，用其他的专用的登录软件，这样一般没人去扫这些端口了，常用的有：TeamViewer，Radmin,