Один из серверов-членов нашего домена почти каждую минуту постоянно производит сбои при входе (обнаруживаются в средстве просмотра событий с помощью политики аудита). Вот типичный журнал сбоев (имена и IP-адреса зашифрованы):
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 11/10/2014
Time: 8:44:49 PM
User: NT AUTHORITY\SYSTEM
Computer: MY_SERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: Administrator
Domain: MY_DOMAIN
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: MY_SERVER
Caller User Name: MY_SERVER$
Caller Domain: MY_DOMAIN
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 2548
Transited Services: -
Source Network Address: 1.2.3.4
Source Port: 42985
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Что меня расстраивает, так это то, что я не могу отследить, какая служба / процесс вызывает это. Как лучше всего это отслеживать?
Тип входа 10 - «Удаленный интерактивный», то есть то, что происходит, когда кто-то пытается установить сеанс удаленного рабочего стола / служб терминалов с помощью mstsc.exe или удаленного помощника.
Кто-то может пытаться войти на ваш сервер через удаленный рабочий стол, используя имя пользователя «Администратор» и пытаясь угадать пароль.
Если бы вы просматривали журналы событий безопасности на MY_SERVER, вы могли бы увидеть, с какого IP-адреса исходит ваш умник.
Это также может быть невинный случай, когда «кто-то законно вошел в систему как администратор 100 дней назад, затем он оставил свой сеанс отключенным на долгое время, затем был изменен пароль для администратора, и теперь бездействующий сеанс все еще пытается повторно аутентифицироваться как администратор. используя старый пароль ".