Назад | Перейти на главную страницу

Рядовой сервер домена вызывает постоянный сбой входа в систему для учетной записи администратора

Один из серверов-членов нашего домена почти каждую минуту постоянно производит сбои при входе (обнаруживаются в средстве просмотра событий с помощью политики аудита). Вот типичный журнал сбоев (имена и IP-адреса зашифрованы):

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   529
Date:       11/10/2014
Time:       8:44:49 PM
User:       NT AUTHORITY\SYSTEM
Computer:   MY_SERVER
Description:
Logon Failure:
    Reason:     Unknown user name or bad password
    User Name:  Administrator
    Domain:     MY_DOMAIN
    Logon Type: 10
    Logon Process:  User32  
    Authentication Package: Negotiate
    Workstation Name:   MY_SERVER
    Caller User Name:   MY_SERVER$
    Caller Domain:  MY_DOMAIN
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID:  2548
    Transited Services: -
    Source Network Address: 1.2.3.4
    Source Port:    42985


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Что меня расстраивает, так это то, что я не могу отследить, какая служба / процесс вызывает это. Как лучше всего это отслеживать?

Тип входа 10 - «Удаленный интерактивный», то есть то, что происходит, когда кто-то пытается установить сеанс удаленного рабочего стола / служб терминалов с помощью mstsc.exe или удаленного помощника.

Кто-то может пытаться войти на ваш сервер через удаленный рабочий стол, используя имя пользователя «Администратор» и пытаясь угадать пароль.

Если бы вы просматривали журналы событий безопасности на MY_SERVER, вы могли бы увидеть, с какого IP-адреса исходит ваш умник.

Это также может быть невинный случай, когда «кто-то законно вошел в систему как администратор 100 дней назад, затем он оставил свой сеанс отключенным на долгое время, затем был изменен пароль для администратора, и теперь бездействующий сеанс все еще пытается повторно аутентифицироваться как администратор. используя старый пароль ".