Мы обнаружили неприличное количество попыток входа в систему со стороны пользователей, не входящих в наш домен. Ниже приведены примеры файлов журнала. Мы не можем сузить круг, откуда поступают эти логины. К сожалению, ни один из компьютерных источников не отображается.
Есть ли другой способ сузить источник этих логинов?
Спасибо
ОШИБКА EX 1
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: ID безопасности: NULL SID Имя учетной записи: ITUSER Домен учетной записи:
Информация о сбое: Причина сбоя: Неизвестное имя пользователя или неверный пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064
Информация о процессе: Идентификатор процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -
Сетевая информация: Имя рабочей станции: Сетевой адрес источника: - Порт источника: -
Подробная информация об аутентификации: Процесс входа в систему: Пакет аутентификации NtLmSsp: Транзитные службы NTLM: - Имя пакета (только NTLM): - Длина ключа: 0
Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа.
В полях «Тема» указывается учетная запись в локальной системе, которая запросила вход. Чаще всего это служба, такая как служба сервера, или локальный процесс, например Winlogon.exe или Services.exe.
Поле «Тип входа» указывает тип запрошенного входа в систему. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
В полях «Информация о процессе» указано, какая учетная запись и процесс в системе запросили вход.
Поля информации о сети указывают, откуда исходит запрос удаленного входа в систему. Имя рабочей станции не всегда доступно и в некоторых случаях может быть оставлено пустым.
Поля информации для аутентификации предоставляют подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Будет 0, если сеансовый ключ не был запрошен.
ОШИБКА EX 2
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: ID безопасности: NULL SID Имя учетной записи: LURRUTI Домен учетной записи:
Информация о сбое: Причина сбоя: Неизвестное имя пользователя или неверный пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064
Информация о процессе: Идентификатор процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -
Сетевая информация: Имя рабочей станции: Сетевой адрес источника: - Порт источника: -
Подробная информация об аутентификации: Процесс входа в систему: Пакет аутентификации NtLmSsp: Транзитные службы NTLM: - Имя пакета (только NTLM): - Длина ключа: 0
Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа.
В полях «Тема» указывается учетная запись в локальной системе, которая запросила вход. Чаще всего это служба, такая как служба сервера, или локальный процесс, например Winlogon.exe или Services.exe.
Поле «Тип входа» указывает тип запрошенного входа в систему. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
В полях «Информация о процессе» указано, какая учетная запись и процесс в системе запросили вход.
Поля информации о сети указывают, откуда исходит запрос удаленного входа в систему. Имя рабочей станции не всегда доступно и в некоторых случаях может быть оставлено пустым.
Поля информации для аутентификации предоставляют подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Будет 0, если сеансовый ключ не был запрошен.
Включение ведения журнала отладки Netlogon на контроллерах домена поможет вам отследить источник.
https://support.microsoft.com/en-us/help/109626/enables-debug-logging-for-the-netlogon-service