У меня очень неловкая ситуация. Я хочу найти приложение и / или IP-адрес, пытающийся взломать.
У нас есть WEB-сервер, на котором запущен IIS 7 в домене 2008R2. Мы (все еще) используем NTLM.
Анализируя журнал событий WEB, мы видим несколько систематических неудачных попыток входа в систему с использованием словарей и протокола NTLM, пытающихся получить доступ к серверу, и, следовательно, контроллер домена также получает и записывает попытку.
У меня есть все (известные мне) активные журналы, однако нет записи о каком-либо приложении, записывающем сбой: проверяя случайный идентификатор события 4625, я нашел уникальное имя пользователя: 'GOLF3723' и выполнил текстовый поиск этого слова в каждом журнале файл в моей системе не повезло.
Это места, в которых проводится поиск:
"\\server\admin$\Logs"
"\\server\admin$\Tracing"
"\\server\admin$\System32\LogFiles"
"\\server\c$\inetpub\logs\LogFiles"
Я также активировал NTLM Аудит но в журнале событий нет ничего, что позволило бы нам идентифицировать неудачные попытки входа в систему.
Есть ли способ заставить протокол NTLM быть более подробным? Есть ли другой способ найти виновных?
Отладка Netlogon должна иметь IP-адреса. https://support.microsoft.com/en-us/help/109626/enables-debug-logging-for-the-netlogon-service