Учетная запись администратора блокируется. Не могу отследить источник
Учетная запись администратора блокируется. Журналы событий и журналы входа в сеть подтверждают, что учетная запись блокируется, но имя исходного компьютера не указано (оно пусто). См. Снимки экрана ниже из журнала событий и журнала Netlogon. Как я могу найти источник блокировки учетной записи? Спасибо!
Мне удалось решить проблему, включив аудит NTLM в соответствии с локальной политикой безопасности. (Локальная политика безопасности \ Локальные политики \ Параметры безопасности \ Ограничить аудит NTLM)
Похоже, что злоумышленник пытался получить доступ путем грубой проверки подлинности RDP. NTLM дал мне имя компьютера с открытым доступом RDP, и я смог решить проблему, заблокировав его.
Запустите захват пакетов netmon и сопоставьте записи журнала событий с попытками подключения в захвате.