Учетная запись администратора блокируется. Журналы событий и журналы входа в сеть подтверждают, что учетная запись блокируется, но имя исходного компьютера не указано (оно пусто). См. Снимки экрана ниже из журнала событий и журнала входа в сеть. Как я могу найти источник блокировки учетной записи? Спасибо!
Я смог решить проблему, включив аудит NTLM в рамках локальной политики безопасности. (Local Security Policy\Local Policies\Security Options\Restrict NTLM Audit)
Похоже, что злоумышленник пытался получить доступ с помощью грубой аутентификации RDP. NTLM дал мне имя компьютера с открытым RDP доступом, и я смог решить проблему, заблокировав его
.Выполните захват нетто-пакета и соотнесите записи журнала событий с попытками соединения в захвате.