Несколько попыток входа в систему с неизвестным именем пользователя для события с идентификатором 4625. Есть ли способ сузить источник?

Мы обнаружили неприличное количество попыток входа в систему со стороны пользователей, не входящих в наш домен. Ниже приведены примеры файлов журнала. Мы не можем сузить круг, откуда поступают эти логины. К сожалению, ни один из компьютерных источников не отображается.

Есть ли другой способ сузить источник этих логинов?

Спасибо.

ERROR EX 1

Не удалось войти в учетную запись.

Тема: Идентификатор безопасности: Идентификатор входа: 0x0

Тип входа: 3

Учетная запись, для которой не удалось войти в систему: ИД безопасности: Учетная запись NULL SID Имя: ITUSER Домен учетной записи:

Информация об ошибке: Причина ошибки: Неизвестное имя пользователя или неверно пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064

Информация о процессе: ID процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -

Сетевая информация: Имя рабочей станции: Исходный сетевой адрес: - Исходный порт: -

Подробная информация для аутентификации: Процесс входа: NtLmSsp Пакет аутентификации: Службы транзита NTLM: - Имя пакета (Только NTLM): - Длина ключа: 0

Это событие генерируется при сбое запроса входа в систему. Он генерируется компьютер, на котором была предпринята попытка доступа.

В полях «Тема» указывается учетная запись в локальной системе, которая запросил вход в систему. Чаще всего это такая услуга, как Серверная служба или локальный процесс, например Winlogon.exe или Services.exe.

В поле «Тип входа» указывается тип запрошенного входа. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).

Поля информации о процессе указывают, какая учетная запись и процесс система запросила вход в систему.

Поля информации о сети указывают, где запрос удаленного входа возникла. Имя рабочей станции не всегда доступно и может быть оставлено в некоторых случаях пусто.

Поля аутентификационной информации содержат подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если сеансовый ключ не запрашивался.

ERROR EX 2

Не удалось войти в учетную запись.

Тема: Идентификатор безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0x0

Тип входа: 3

Учетная запись, для которой не удалось войти в систему: ИД безопасности: Учетная запись NULL SID Имя: Домен учетной записи LURRUTI:

Информация об ошибке: Причина сбоя: Неизвестное имя пользователя или неверно пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064

Информация о процессе: ID процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -

Сетевая информация: Имя рабочей станции: Исходный сетевой адрес: - Исходный порт: -

Подробная информация для аутентификации: Процесс входа: NtLmSsp Пакет аутентификации: Службы транзита NTLM: - Имя пакета (Только NTLM): - Длина ключа: 0

Это событие генерируется при сбое запроса входа в систему. Он генерируется на компьютер, на котором была предпринята попытка доступа.

В полях «Тема» указывается учетная запись в локальной системе, которая запросил вход в систему. Чаще всего это такая услуга, как Серверная служба или локальный процесс, например Winlogon.exe или Services.exe.

В поле «Тип входа» указывается тип запрошенного входа. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).

Поля информации о процессе указывают, какая учетная запись и процесс на система запросила вход в систему.

Поля информации о сети указывают, где запрос удаленного входа возникла. Имя рабочей станции не всегда доступно и может быть оставлено в некоторых случаях пусто.

Поля аутентификационной информации содержат подробную информацию об этом конкретном запросе на вход. - Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход. - Название пакета указывает, какой подпротокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если не запрашивался сеансовый ключ.