Я пытаюсь отследить компьютер / устройство с неверным паролем для одной из наших учетных записей администратора домена, которая используется как общая / служебная учетная запись.
Единственные подробности, которые у меня есть, - это повторяющееся событие в средстве просмотра событий на наших контроллерах домена. Повторяется каждые 30–32 минуты.
Безопасность, 11.04.2018, 14: 38: 46 PM, Microsoft-Windows-Security-Auditing, 4776, Информация, Аудит отказов, Проверка учетных данных, ADMINDUDE, DC01.mydomain.com, IP: 10.1.1.90,4776, The компьютер попытался проверить учетные данные для учетной записи. Пакет аутентификации: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: ADMINDUDE Исходная рабочая станция: GS-821450430543CV Код ошибки: 0xc000006a
Эта рабочая станция, GS-821450430543CV, имя не существует в DNS, DHCP, Active Directory. Это настоящее имя рабочей станции в журнале событий - я надеюсь, что кто-то видел его раньше и может сказать мне, что это за тип устройства.
На одном из наших контроллеров домена: я запустил wirehark и искал это имя, выбрав Edit> find Packet> string. Я запустил Sysinternals ProcMon и просмотрел файл захвата. У меня открыта запись в MS Message Analyzer, но я еще не понял, как выполнить поиск по ключевым словам.
Обзор среды: Контроллеры домена Windows 2008R2, в основном клиенты / серверы Windows, несколько серверов приложений Linux, около 200 серверов, 300 рабочих станций, 20 серверов терминалов.
Когда ADMINDUDE был в запланированных задачах на серверах Windows, реальное имя или IP-адрес рабочей станции появлялось в журнале событий. Даже при использовании в качестве учетной записи аутентификации LDAP на устройстве Linux это событие дало нам более подробную информацию.
Есть какие-нибудь советы по поиску этого "мошеннического" компьютера? Какие-нибудь советы по поиску уже имеющихся у меня снимков?
Обновить: Выполните отладку Netlogon (как было предложено JoeQwerty), и теперь у меня есть дополнительная информация. Итак, я собираюсь снова запустить все тесты из Exchange.
13.04.13 13:47:14 [ВХОД] ДОМЕН: SamLogon: Вход в транзитивную сеть домена \ ADMINDUDE от GS-821450430543CV (через EXCHANGE) Введен
13.04.13 13:47:14 [LOGON] DOMAIN: SamLogon: Transitive Network logon of domain \ ADMINDUDEfrom GS-821450430543CV (через EXCHANGE) Возвращает 0xC000006A
Обновление 2: НАШЕЛ! Поиск в журнале событий для Audit Failure на Exchange точно в то же время показал его IP-адрес в сетевой информации о событии. Это было Polycom это было отключено от сети в течение нескольких месяцев, и кто-то, должно быть, недавно подключил его обратно.