Durante algunas semanas, todos nuestros DC han recibido miles de inicios de sesión fallidos para "Administrador". El visor de eventos registra debajo de los mensajes. NOTA: no tenemos computadoras ni servidores en la red con los nombres, parecen muy genéricos. Hemos intentado rastrear las conexiones pero ProcessMonitor, Antimalware, puertos internos, etc. no muestran nada. ¿Alguien con ideas sobre cómo rastrear esto más a fondo?
ID de evento: 4776 Tipo: RED
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
Respuesta1
Puede ejecutar Wireshark en el servidor y luego buscar tráfico de Kerberos. Este será un método que consumirá mucho tiempo si tiene muchos servidores en el dominio.