事件ID40960分析

1.打开系统日志查看器，发现很多netlogon和LSASRV的错误和告警信息

事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期:  2010-10-18
事件:  8:04:48
用户:  N/A
计算机: Sx-xxx-02
描述:
安全系统检测到一个对服务器 LDAP/xx-xx-01.pub.xx.com/[email protected] 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "参考帐户当前已禁用且无法登录。
 (0xc0000072)"。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

回答：根据您的描述，我对这个问题的理解是：在您的域控上记录了一个40960事件，事件的原因是账户已禁用。
您所看到的事件一般来说并不是受到攻击了。绝大多数情况下这是因为Kerberos或者NTLM验证出现错误（因为记录的是“降级攻击”，所以很有可能是NTLM或者其它非Kerberos验证出错）。这很有可能是有某台机器或者程序使用了一个被禁止的账户（比如guest等）连接到DC。

 

event id 40960。如果这台机器是在工作组中，那么使用的是NTLM验证。由于该账号被禁止了，那么验证会出错。事件40960就可能被记录。还有就是某个在域计算机上的程序使用被禁止的账户去连接DC，虽然使用的是Kerberos验证，但是由于账号被禁止，那么验证会通不过。这时该程序可能会继续使用NTLM等验证方式去验证（它并没有意识到时由于账号的关系导致连接失败），结果导致了40960事件被记录。不管是哪种情况，这对您的系统都没有威胁。

本次事件的解决办法是：打开dsa.msc 查找到计算机的OU位置后发现此计算机名称为已禁用，开启即可。