Доступ к учетной записи администратора с неизвестных имен компьютеров

Доступ к учетной записи администратора с неизвестных имен компьютеров

За несколько недель все наши контроллеры домена получили тысячи неудачных попыток входа в систему для "Администратора". Журналы журнала событий ниже сообщений, ОБРАТИТЕ ВНИМАНИЕ, у нас нет компьютеров или серверов в сети с именами, они кажутся очень общими. Мы пытались отследить соединения, но ProcessMonitor, Antimalware, внутренние порты и т. д. ничего не показывают. У кого-нибудь есть идеи, как отследить это дальше?

EventID: 4776 Тип: СЕТЬ

Logon Account:  Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```

решение1

Вы можете запустить Wireshark на сервере, а затем посмотреть на трафик Kerberos. Это будет трудоемкий подход, если у вас много серверов в Домене.

Связанный контент