Seit einigen Wochen haben alle unsere DCs Tausende von fehlgeschlagenen Logins für „Administrator“ erhalten. Die Ereignisanzeige protokolliert die folgenden Meldungen. HINWEIS: Wir haben keine Computer oder Server mit diesen Namen im Netzwerk, sie scheinen sehr allgemein zu sein. Wir haben versucht, die Verbindungen zu verfolgen, aber ProcessMonitor, Antimalware, interne Ports usw. zeigen nichts an. Hat jemand eine Idee, wie man das weiter verfolgen kann?
EventID: 4776 Typ: NETZWERK
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
Antwort1
Sie können Wireshark auf dem Server ausführen und dann nach Kerberos-Verkehr suchen. Dies ist ein zeitaufwändiger Ansatz, wenn Sie viele Server in der Domäne haben.