Назад | Перейти на главную страницу

Event_ID 4625 Неудачный вход на WinServ2012 Ess

Некоторое время я пытался осмыслить это, но, похоже, не могу найти решения. Я видел много похожих вопросов здесь и на других форумах, но ни один не соответствовал моей ситуации. Все остальные потоки имеют явную информацию об источнике, учетной записи и IP-адресе, а мой - нет. Это информация о событии, которая появляется примерно каждые полчаса:

An account failed to log on.

Subject:    Security ID:        SYSTEM  Account Name:       CITY2012ESS$    Account Domain:     CITYMAN     Logon ID:       0x3E7
Logon Type:         3
Account For Which Logon Failed:     Security ID:        NULL SID    Account Name:           Account Domain:     
Failure Information:    Failure Reason:     Unknown user name or bad password.  Status:         0xC000006D  Sub Status:     0xC0000064
Process Information:    Caller Process ID:  0x280   Caller Process Name:    C:\Windows\System32\lsass.exe
Network Information:    Workstation Name:   CITY2012ESS     Source Network Address: -   Source Port:        -
Detailed Authentication Information:    Logon Process:      Schannel    Authentication Package: Kerberos    Transited Services: -   Package Name (NTLM only):   -   Key Length:     0

Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа.

Как видите, в доступном источнике нет информации об учетной записи или сети. Это наводит меня на мысль, что это происходит на самом сервере из-за какой-то службы. Стоит отметить, что этот сервер недоступен для внешнего интернет-трафика. На сервере обмена нет, только синхронизация AD из Office365. Поэтому я думаю, что «атака» должна исходить изнутри локальной сети или даже изнутри локальной машины.

Может кто-нибудь пролить некоторый свет на это?