Puncte:0

Găsiți unitatea de rețea, programul sau artefactul care provoacă autentificarea eșuată

drapel in

Încerc să repar o situație de director activ într-o rețea. O problemă care există este că un cont de utilizator face un număr mare de încercări de conectare (500 ish) la un controler de domeniu și cauza eșuată a parolei greșite.

Folosesc diverse instrumente, cum ar fi ADAudit Plus, care îmi arată numele de utilizator, ip-ul și controlerul de domeniu pentru încercarea de conectare. Mă conectez la mașină și nu există nicio unitate mapată, nicio unitate de rețea, nicio aplicație pe care o pot vedea care încearcă să facă această autentificare de la acea mașină. Întrebarea mea este, există o modalitate prin care pot localiza mai bine artefactul ofensator pentru a reduce acest număr mare de solicitări de conectare eșuate?

Salutari

drapel cn
Pe gazda unde au loc conectările, examinați jurnalul de evenimente de securitate. Când auditarea este activată, ar trebui să puteți corela conectarea cu un proces/id.
Niana  avatar
drapel in
Primesc „0x0” atât pentru ID-ul procesului apelantului, cât și pentru ID-ul de conectare
Puncte:0
drapel cn

Căutați ID eveniment 5625.

Evenimentul 4625 este generat când o solicitare de conectare eșuează și este generată pe computer unde s-a încercat accesul.

Câmpurile Subiect indică contul de pe sistemul local care a solicitat conectarea (poate 0x0). Acesta este cel mai frecvent un serviciu, cum ar fi serviciul Server (SMB-) sau un proces local, cum ar fi Winlogon sau Servicii.

Câmpul Tip de conectare indică tipul de conectare care a fost solicitat. Cele mai comune tipuri sunt:

  • 0 (cont de sistem local, utilizat de obicei de serviciile locale)
  • 2 (interactiv)
  • 3 (rețea)

Câmpurile Informații proces indică ce cont și proces din sistem a solicitat conectarea (sau are 0x0 ca indicație pentru „serviciu local”). „Lungimea cheii” indică lungimea cheii de sesiune generată. Acesta va fi 0 dacă nu a fost solicitată nicio cheie de sesiune (ceea ce indică un serviciu local care folosește acreditările serviciului local greșit).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.