不明なコンピュータ名からの管理者アカウントへのアクセス

不明なコンピュータ名からの管理者アカウントへのアクセス

数週間にわたって、すべての DC で「管理者」のログイン失敗が何千件も発生しています。イベント ビューアーには、以下のメッセージが記録されています。ネットワーク上には、その名前のコンピューターやサーバーは存在しないことに注意してください。非常に一般的なようです。接続をトレースしようとしましたが、ProcessMonitor、Antimalware、内部ポートなどでは何も表示されません。これをさらにトレースする方法を知っている人はいませんか?

イベントID: 4776 タイプ: ネットワーク

Logon Account:  Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```

答え1

サーバー上で Wireshark を実行し、Kerberos トラフィックを検索することができます。ドメイン内に多数のサーバーがある場合、この方法は時間のかかるものになります。

関連情報