Некоторое время я пытался осмыслить это, но, похоже, не могу найти решения. Я видел много похожих вопросов здесь и на других форумах, но ни один не соответствовал моей ситуации. Все остальные потоки имеют явную информацию об источнике, учетной записи и IP-адресе, а мой - нет. Это информация о событии, которая появляется примерно каждые полчаса:
An account failed to log on.
Subject: Security ID: SYSTEM Account Name: CITY2012ESS$ Account Domain: CITYMAN Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain:
Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064
Process Information: Caller Process ID: 0x280 Caller Process Name: C:\Windows\System32\lsass.exe
Network Information: Workstation Name: CITY2012ESS Source Network Address: - Source Port: -
Detailed Authentication Information: Logon Process: Schannel Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0
Это событие создается при сбое запроса входа в систему. Он создается на компьютере, на котором была предпринята попытка доступа.
Как видите, в доступном источнике нет информации об учетной записи или сети. Это наводит меня на мысль, что это происходит на самом сервере из-за какой-то службы. Стоит отметить, что этот сервер недоступен для внешнего интернет-трафика. На сервере обмена нет, только синхронизация AD из Office365. Поэтому я думаю, что «атака» должна исходить изнутри локальной сети или даже изнутри локальной машины.
Может кто-нибудь пролить некоторый свет на это?