Мы обнаружили неприличное количество попыток входа в систему со стороны пользователей, не входящих в наш домен. Ниже приведены примеры файлов журнала. Мы не можем сузить круг, откуда поступают эти логины. К сожалению, ни один из компьютерных источников не отображается.
Есть ли другой способ сузить источник этих логинов?
Спасибо.
ERROR EX 1
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: ИД безопасности: Учетная запись NULL SID Имя: ITUSER Домен учетной записи:
Информация об ошибке: Причина ошибки: Неизвестное имя пользователя или неверно пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064
Информация о процессе: ID процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -
Сетевая информация: Имя рабочей станции: Исходный сетевой адрес: - Исходный порт: -
Подробная информация для аутентификации: Процесс входа: NtLmSsp Пакет аутентификации: Службы транзита NTLM: - Имя пакета (Только NTLM): - Длина ключа: 0
Это событие генерируется при сбое запроса входа в систему. Он генерируется компьютер, на котором была предпринята попытка доступа.
В полях «Тема» указывается учетная запись в локальной системе, которая запросил вход в систему. Чаще всего это такая услуга, как Серверная служба или локальный процесс, например Winlogon.exe или Services.exe.
В поле «Тип входа» указывается тип запрошенного входа. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
Поля информации о процессе указывают, какая учетная запись и процесс система запросила вход в систему.
Поля информации о сети указывают, где запрос удаленного входа возникла. Имя рабочей станции не всегда доступно и может быть оставлено в некоторых случаях пусто.
Поля аутентификационной информации содержат подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если сеансовый ключ не запрашивался.
ERROR EX 2
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему: ИД безопасности: Учетная запись NULL SID Имя: Домен учетной записи LURRUTI:
Информация об ошибке: Причина сбоя: Неизвестное имя пользователя или неверно пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064
Информация о процессе: ID процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -
Сетевая информация: Имя рабочей станции: Исходный сетевой адрес: - Исходный порт: -
Подробная информация для аутентификации: Процесс входа: NtLmSsp Пакет аутентификации: Службы транзита NTLM: - Имя пакета (Только NTLM): - Длина ключа: 0
Это событие генерируется при сбое запроса входа в систему. Он генерируется на компьютер, на котором была предпринята попытка доступа.
В полях «Тема» указывается учетная запись в локальной системе, которая запросил вход в систему. Чаще всего это такая услуга, как Серверная служба или локальный процесс, например Winlogon.exe или Services.exe.
В поле «Тип входа» указывается тип запрошенного входа. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
Поля информации о процессе указывают, какая учетная запись и процесс на система запросила вход в систему.
Поля информации о сети указывают, где запрос удаленного входа возникла. Имя рабочей станции не всегда доступно и может быть оставлено в некоторых случаях пусто.
Поля аутентификационной информации содержат подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если не запрашивался сеансовый ключ.
Включение отладки Netlogon на контроллерах домена поможет вам отследить источник.
https://support.microsoft.com/en-us/help/109626/enabling-debug-logging-for-the-netlogon-service