înregistrare Logare
Puncte:0
avatar Server

Acces la contul de administrator de la nume de computer necunoscute

drapel cn
Salve

Timp de câteva săptămâni, toți DC-urile noastre au primit mii de conectări eșuate pentru „Administrator”. Vizualizatorul de evenimente înregistrează sub mesaje, NOTĂ nu avem computere sau servere în rețea cu numele, par foarte generice. Am încercat să urmărim conexiunile, dar ProcessMonitor, Antimalware, porturile interne etc. nu arată nimic. Are cineva idei cum să urmărească asta mai departe?

ID eveniment: 4776 Tip: NETWORK

Cont de conectare: Administrator
Stație de lucru sursă: Windows2016
Cod de eroare: 0xc000006a
Computerul a încercat să valideze acreditările pentru un cont.

Pachet de autentificare: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cont de conectare: Administrator
Stație de lucru sursă: FreeRDP
Cod de eroare: 0xc000006a
Computerul a încercat să valideze acreditările pentru un cont.

Pachet de autentificare: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cont de conectare: Administrator
Stație de lucru sursă: Windows2012
Cod de eroare: 0xc000006a
Computerul a încercat să valideze acreditările pentru un cont.

Pachet de autentificare: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cont de conectare: Administrator
Stație de lucru sursă: Windows10
Cod de eroare: 0xc000006a
Computerul a încercat să valideze acreditările pentru un cont.```
127
0 + 0
Semicolon avatar
drapel jo
Semicolon
Ce serviciu AD-integrat aveți deschis pe internet? OWA? Desktop la distanță?
0
Răspunde
drapel cn
Salve
Niciuna din câte știu eu, de aceea trebuie să investigăm de unde vine
0
Răspunde
Alex avatar
drapel us
Alex
Îl secund pe domnul punct și virgulă: pare un serviciu expus la Internet care este forțat. Poate legat de RDP. Dacă aveți jurnale Windows de la serverele dvs., încercați să căutați încercări eșuate de conectare (4625) - pe serverul însuși care este forțat brut, ar trebui să existe un astfel de eveniment în mod ideal.
0
Răspunde
Puncte:1
Abu Zaid avatar Server
drapel ru
Abu Zaid

Puteți rula Wireshark pe server și apoi căutați trafic Kerberos.Aceasta va fi o abordare consumatoare de timp dacă aveți o mulțime de servere în domeniu.

0 + 0
drapel cn
Salve
Am câteva sute de servere și câteva mii de utilizatori, așa că jurnalul Wireshark „explodează” dacă nu pot fi mai precis
0
Răspunde
Abu Zaid avatar
drapel ru
Abu Zaid
În filtru, excludeți rețelele dvs. de încredere, spuneți că aveți toate serverele de producție în rețeaua 10.0.0.0/16, eliminați-le din captură. Sau procedați în alt mod, începeți cu subrețele mai mici și apoi excludeți-le una câte una. Nu va fi ceva simplu, va fi nevoie de timp și efort pentru a-l găsi prin Wireshark. Va trebui să luați ștampila de timp Eventlog și apoi să vă uitați la intervalul de timp relevant în Wireshark. Dacă aveți buget, puteți încerca și instrumente terță parte, cum ar fi ManageEngine, au ADAudit Plus, pe care eu nu l-am încercat pentru acest ID de eveniment.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.