事件ID40960分析

1.打开系统日志查看器,发现很多netlogon和LSASRV的错误和告警信息

事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期:  2010-10-18
事件:  8:04:48
用户:  N/A
计算机: Sx-xxx-02
描述:
安全系统检测到一个对服务器 LDAP/xx-xx-01.pub.xx.com/[email protected] 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "参考帐户当前已禁用且无法登录。
 (0xc0000072)"。

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

回答:根据您的描述,我对这个问题的理解是:在您的域控上记录了一个40960事件,事件的原因是账户已禁用。
您所看到的事件一般来说并不是受到攻击了。绝大多数情况下这是因为Kerberos或者NTLM验证出现错误(因为记录的是“降级攻击”,所以很有可能是NTLM或者其它非Kerberos验证出错)。这很有可能是有某台机器或者程序使用了一个被禁止的账户(比如guest等)连接到DC。

 

event id 40960。如果这台机器是在工作组中,那么使用的是NTLM验证。由于该账号被禁止了,那么验证会出错。事件40960就可能被记录。还有就是某个在域计算机上的程序使用被禁止的账户去连接DC,虽然使用的是Kerberos验证,但是由于账号被禁止,那么验证会通不过。这时该程序可能会继续使用NTLM等验证方式去验证(它并没有意识到时由于账号的关系导致连接失败),结果导致了40960事件被记录。不管是哪种情况,这对您的系统都没有威胁。

本次事件的解决办法是:打开dsa.msc 查找到计算机的OU位置后发现此计算机名称为已禁用,开启即可。

你可能感兴趣的:(事件)