У меня возникла проблема с настройкой аудита на сервере для выявления неудачных и успешных попыток входа в сеть.
Сегодня утром мы обнаружили одну из наших тестовых машин со странным логином на заблокированном экране. Определенно не пользователь, который существует в нашем домене. Пользователь, увидевший это, должен был перезагрузить компьютер, чтобы войти в систему. Я узнал об этом только позже, поэтому сам не мог видеть заблокированный экран. Меня попросили провести расследование, но все, что я нашел на затронутом клиенте и контроллере домена, было очень расплывчатыми записями журнала:
С тех пор я внес немного изменений. В политике контроллера домена я включил аудит событий входа в учетную запись и аудит событий входа в систему. источник
Также следил за дальнейшим руководством из того же потока, в котором я включил события изменения Active Directory.
Вот где я сейчас проверяю средство просмотра событий на контроллере домена в журналах безопасности:
Основываясь на этом источник Я вижу, это из-за неверного пароля. Но он не говорит, откуда был выполнен вход или на какую удаленную машину.
Если я введу правильный пароль, он создаст событие с идентификатором 4768, в котором говорится, что был запрошен билет проверки подлинности Kerberos, без кода результата. В следующих записях об успешном входе в систему нет ничего.
Как я могу записать это в свои журналы, чтобы отследить проблему, если она повторится в будущем?
Подводя итог, мне нужно увидеть все предпринятые, успешные и неудачные попытки входа в сеть. Надеюсь, я смогу сузить эти журналы до целевого IP-адреса, чтобы отображать только журналы, относящиеся к машине, которая подозревается в взломе. Возможно ли это без дополнительных инструментов / программного обеспечения?