Am un controler de domeniu instalat în biroul meu de acasă, 1 controler de domeniu, 1 PC, 1 utilizator.
Eu rulez Microsoft Server 2019.
Când mă uit în jurnalul de evenimente de securitate, văd mii de evenimente Logon (Event ID 4624), Logoff (Event ID 4634 și Special Logon (Event ID 4672) - sunt generate sute pe oră.
Un exemplu de eveniment de conectare (ID eveniment 4624):
Subiect:
ID de securitate: NULL SID
Nume de cont: -
Domeniul contului: -
ID de conectare: 0x0
Informații de conectare:
Tip de conectare: 3
Mod de administrare restricționat: -
Cont virtual: Nu
Token ridicat: Da
Nivel de uzurpare a identității: delegare
Conectare nouă:
ID de securitate: SYSTEM
Numele contului: DC$
Domeniul contului: ACME.LTD
ID de conectare: 0x234F28
ID de conectare conectat: 0x0
Nume cont de rețea: -
Domeniul contului de rețea: -
Am cercetat acestea și online și am găsit sfaturi contradictorii, inclusiv sugerând că serverul este compromis, că rețeaua este compromisă, că acesta este de la stațiile de lucru care accesează serverul și că acestea sunt serverul care se autentifică împotriva lui însuși.
Acesta din urmă este motivul pentru care, dintr-o bănuială, am șters jurnalele și am deconectat serverul de la rețea - aceste evenimente au continuat să fie generate.
În mod frustrant, cu tot acest zgomot, nu am cum să identific erorile suspecte reale.
Orice ajutor ar fi apreciat!!
