Одна из наших отключенных учетных данных учетной записи администратора по-прежнему используется для выполнения (неудачных) попыток входа на некоторые серверы Windows с множества других серверов. Попытки входа в систему были сделаны с использованием проверки подлинности Kerberos.
Вопрос: Как определить на исходных серверах скрипты / приложения, ответственные за эти попытки? Какой источник журнала может быть более надежным? Могу я поставить какой-нибудь слушатель на конкретный логин?
На данный момент я проводил расследование в средстве просмотра событий исходных серверов, но не могу найти никакой информации, имеющей отношение к моей проблеме.
Благодаря другому сообщению ner0 Мне удалось идентифицировать процессы, используя учетные данные с помощью следующей команды:
schtasks /query /v /fo csv > sched_tasks.csv