Сегодня я просматривал свои журналы аудита безопасности и заметил несколько пользователей, у которых было 540 успешных попыток входа, а затем быстрое 538 выходов из системы (и под быстрым я подразумеваю, что пользователь выходит из системы где-то через 1-30 секунд после входа в систему).
Есть одна, которая мне особенно интересна, в основном потому, что я знаю, что этот пользователь в отпуске и не будет входить в систему на своем компьютере.
Некоторые важные примечания
- Пользователь в отпуске, и аутентификация происходит с его рабочего места в офисе.
- Их рабочая станция остается включенной
- Пользователь может напрямую подключаться к своей рабочей станции через RDP
- У этого пользователя есть помощник, у которого есть доступ ко многим данным этого пользователя (Outlook, сетевой пароль и т. Д.)
- На этом компьютере пользователя в прошлом был вирус, который, я думаю, мы вылечили (Malwarebytes оказался чистым, журнал HiJackThis выглядел чистым, и на их компьютере был запущен антивирус). Мы попросили пользователя изменить свой пароль после того, как мы очистили вирус.
У меня вопрос: что могло быть причиной быстрого входа / выхода из моей сети? Любое понимание будет оценено!