Início / server / Perguntas / 1163977
Accepted
Yuri
Asked: 2024-08-17 00:54:39 +0800 CST

O ID do evento 4625 não possui informações de rede remota no Windows 10 Pro

  • 772

Tive várias tentativas fracassadas de conexão com meu servidor SSH hospedado no Windows 10. O log de eventos não fornece nenhuma informação sobre o IP de origem e outros detalhes da rede remota. Como fazer com que essas informações sejam preenchidas? A política do computador está definida para registrar sucesso e falha, mas ainda nenhuma informação foi coletada.

Uma conta não conseguiu fazer logon.

Assunto: ID de segurança: Nome da conta do SISTEMA: DESKTOP-TEST1 Domínio da conta: ID de logon do GRUPO DE TRABALHO: 0x3E7

Tipo de logon: 8

Conta para a qual o logon falhou: ID de segurança: NULL SID Nome da conta: - Domínio da conta: -

Informações sobre a falha: Motivo da falha: Nome de usuário desconhecido ou senha incorreta. Status: 0xC000006D Substatus: 0xC000006A

Informações do processo: ID do processo do chamador: 0x2638 Nome do processo do chamador: C:\Windows\System32\OpenSSH\sshd.exe

**Informações da rede:

Workstation Name:   -
Source Network Address: -
Source Port:        -**

Informações detalhadas de autenticação: Processo de logon:
Pacote de autenticação Advapi: Negociar serviços de trânsito: - Nome do pacote (somente NTLM): - Comprimento da chave: 0

ssh

1 respostas

  1. Best Answer

    A razão pela qual o ID de evento 4625 do Windows não registra o IP de origem é porque o Windows não conhece o endereço de origem.

    O processo de autenticação no Windows (via login em texto não criptografado - tipo 8) é OpenSSH com o processo sshd.exe. Mais informações sobre 4625 estão aqui: https://system32.eventsentry.com/security/event/4625 .

    É esse processo que realmente recebe a conexão de rede de entrada e depois passa o nome de usuário e a senha para o Windows, verificando as credenciais fornecidas.

    Receio que seja assim que o Windows funciona. Como Greg disse, você teria que obter essas informações dos logs SSH. Somente o serviço SSH saberia todas as informações que você deseja:

    • IP/Porta de origem
    • Nome de usuário

    Eu recomendo que você consulte a documentação do OpenSSH para ver onde o arquivo de log está localizado (deveria estar C:\ProgramData\ssh\sshd_config) e defina o nível de registro como VERBOSE ( LogLevel VERBOSE).

    Aparentemente o OpenSSH no Windows tem seu próprio log de eventos ( Applications and Services Logs > OpenSSH) onde você pode ver essas informações, mas não posso verificar isso porque nunca usei o OpenSSH no Windows.

    • 2

relate perguntas