У меня есть сервер, который продолжает получать неудачные события входа в систему (4625). Они происходят примерно каждые 20-30 минут ежедневно. Также, похоже, есть в расписании.
Я пробовал удалить сохраненные учетные данные. Отключение RDS. Я попытался найти шаблон с помощью Procmon и Wireshark, и в какой-то момент подумал, что это могут быть службы для Labtech (ConnectWise Automate), но временное отключение этого не имело значения.
Не удалось войти в учетную запись.
Тема:
Security ID: SYSTEM
Account Name: SERVER$
Account Domain: DOMAIN
Logon ID: 0x3E7
Тип входа: 3
Учетная запись, для которой не удалось войти в систему:
Security ID: NULL SID
Account Name:
Account Domain:
Информация об отказе:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Обрабатывать информацию:
Caller Process ID: 0x2f4
Caller Process Name: C:\Windows\System32\lsass.exe
Сетевая информация:
Workstation Name: SERVER
Source Network Address: -
Source Port: -
Подробная информация для аутентификации:
Logon Process: Schannel
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Как вы упомянули, на этом мероприятии предоставляется очень мало полезной информации. Что мы видим:
Вкратце, «что-то» запускается локально с неправильным именем пользователя и пытается пройти аутентификацию по сети с использованием протокола Kerberos.
Поэтому единственные «подсказки», которые я могу вам предложить: