Verificação de Tentativas de Autenticação com Falha

Microsoft.SystemCenter.ManagementServer.Security.FailedAuthenticationCheck (UnitMonitor)

Monitora tentativas de autenticação com falha nesse servidor de gerenciamento.

Knowledge Base article:

Resumo

Houve falha em uma ou mais tentativas por parte de um dispositivo, conector ou agente de se autenticar nesse servidor de gerenciamento.

Causas

As falhas de autenticação podem estar relacionadas a uma das seguintes condições:

O certificado remoto não era confiável
A aprovação de um dispositivo está pendente
O certificado não está importado corretamente
O servidor de gerenciamento e o computador que está tentando se autenticar estão definidos para usar diferentes configurações de autenticação

Resoluções

Veja os detalhes do alerta para identificar o evento que o disparou.

Para o evento 20072: Veja os detalhes do alerta para identificar o computador que utiliza um certificado não confiável. Configure o computador de origem de forma a usar um certificado confiável ou configure o servidor que executa o Operations Manager de forma que ele confie na autoridade de certificação que emitiu o certificado. Para obter informações sobre como configurar certificados, consulte o seguinte:

Gerenciando certificados no Operations Manager ( http://go.microsoft.com/fwlink/?LinkID=824998).
Gerenciando certificados, nos tópicos sobre o Windows Server no TechNet ( http://technet.microsoft.com/pt-br/library/cc771377.aspx).

Para o evento 20002: Abra a área Administração no console de Operações e clique em Gerenciamento Pendente. Selecione os objetos listados e clique em Aprovar ou Rejeitar, conforme apropriado.

Para o evento 21003: Verifique se o certificado raiz da Autoridade de Certificação que emitiu o certificado para o computador identificado nos detalhes do alerta foi importado para Autoridades de Certificação Raiz Confiáveis. Para obter instruções sobre como importar um certificado Raiz Confiável, consulte o tópico referente ao tipo da autoridade de certificação em Autenticação e criptografia de dados para computadores Windows ( http://go.microsoft.com/fwlink/?LinkId=161162).

Para o evento 21011: Verifique as configurações de autenticação para ambos os computadores na Diretiva de Grupo e na Diretiva de Segurança Local.

Element properties:

Target

Microsoft.SystemCenter.ManagementServer

Parent Monitor

Microsoft.SystemCenter.HealthService.SecurityRollup

Category

SecurityHealth

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

High

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.RepeatedEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Verificação de Tentativas de Autenticação com Falha

O servidor de gerenciamento está encontrando várias tentativas de autenticação com falha. Isso pode ser provocado por um problema no ambiente ou pode indicar um ataque ao servidor de gerenciamento. Examine o contexto do alerta para obter mais detalhes.

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.SystemCenter.ManagementServer.Security.FailedAuthenticationCheck" Accessibility="Public" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.ManagementServer" ParentMonitorID="Microsoft.SystemCenter.HealthService.SecurityRollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.RepeatedEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.SystemCenter.ManagementServer.Security.FailedAuthenticationCheck_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>High</AlertPriority>

    <AlertSeverity>Warning</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="Microsoft.SystemCenter.ManagementServer.Security.FailedAuthenticationCheck.Warning" MonitorTypeStateID="RepeatedEventRaised" HealthState="Warning"/>

    <OperationalState ID="Microsoft.SystemCenter.ManagementServer.Security.FailedAuthenticationCheck.Success" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <RepeatedComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</RepeatedComputerName>

    <RepeatedLogName>Operations Manager</RepeatedLogName>

    <RepeatedExpression>

      <And>

        <Expression>

          <Or>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">20072</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21009</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">20002</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21002</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21003</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21011</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </Or>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">OpsMgr Connector</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </RepeatedExpression>

    <Consolidator>

      <ConsolidationProperties/>

      <TimeControl>

        <WithinTimeSchedule>

          <Interval>300</Interval>

        </WithinTimeSchedule>

      </TimeControl>

      <CountingCondition>

        <Count>3</Count>

        <CountMode>OnNewItemTestOutputRestart_OnTimerSlideByOne</CountMode>

      </CountingCondition>

    </Consolidator>

    <TimerWaitInSeconds>3600</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>