За несколько недель все наши контроллеры домена получили тысячи неудачных попыток входа в систему для "Администратора". Журналы журнала событий ниже сообщений, ОБРАТИТЕ ВНИМАНИЕ, у нас нет компьютеров или серверов в сети с именами, они кажутся очень общими. Мы пытались отследить соединения, но ProcessMonitor, Antimalware, внутренние порты и т. д. ничего не показывают. У кого-нибудь есть идеи, как отследить это дальше?
EventID: 4776 Тип: СЕТЬ
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
решение1
Вы можете запустить Wireshark на сервере, а затем посмотреть на трафик Kerberos. Это будет трудоемкий подход, если у вас много серверов в Домене.