Găsiți unitatea de rețea, programul sau artefactul care provoacă autentificarea eșuată

Încerc să repar o situație de director activ într-o rețea. O problemă care există este că un cont de utilizator face un număr mare de încercări de conectare (500 ish) la un controler de domeniu și cauza eșuată a parolei greșite.

Folosesc diverse instrumente, cum ar fi ADAudit Plus, care îmi arată numele de utilizator, ip-ul și controlerul de domeniu pentru încercarea de conectare. Mă conectez la mașină și nu există nicio unitate mapată, nicio unitate de rețea, nicio aplicație pe care o pot vedea care încearcă să facă această autentificare de la acea mașină. Întrebarea mea este, există o modalitate prin care pot localiza mai bine artefactul ofensator pentru a reduce acest număr mare de solicitări de conectare eșuate?

Salutari

Căutați ID eveniment 5625.

Evenimentul 4625 este generat când o solicitare de conectare eșuează și este generată pe computer unde s-a încercat accesul.

Câmpurile Subiect indică contul de pe sistemul local care a solicitat conectarea (poate 0x0). Acesta este cel mai frecvent un serviciu, cum ar fi serviciul Server (SMB-) sau un proces local, cum ar fi Winlogon sau Servicii.

Câmpul Tip de conectare indică tipul de conectare care a fost solicitat. Cele mai comune tipuri sunt:

• 0 (cont de sistem local, utilizat de obicei de serviciile locale)
• 2 (interactiv)
• 3 (rețea)

Câmpurile Informații proces indică ce cont și proces din sistem a solicitat conectarea (sau are 0x0 ca indicație pentru „serviciu local”). „Lungimea cheii” indică lungimea cheii de sesiune generată. Acesta va fi 0 dacă nu a fost solicitată nicio cheie de sesiune (ceea ce indică un serviciu local care folosește acreditările serviciului local greșit).