我们的一个域成员服务器几乎每分钟都会持续生成连续的login失败(通过审核策略捕获到事件查看器)。 这是一个典型的故障日志(名称和IP混淆):
Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff Event ID: 529 Date: 11/10/2014 Time: 8:44:49 PM User: NT AUTHORITY\SYSTEM Computer: MY_SERVER Description: Logon Failure: Reason: Unknown user name or bad password User Name: Administrator Domain: MY_DOMAIN Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: MY_SERVER Caller User Name: MY_SERVER$ Caller Domain: MY_DOMAIN Caller Logon ID: (0x0,0x3E7) Caller Process ID: 2548 Transited Services: - Source Network Address: 1.2.3.4 Source Port: 42985 For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. 令人沮丧的是我无法跟踪哪些服务/进程正在造成这种情况。 跟踪这个最好的方法是什么?
logintypes10是“远程交互”,即有人试图用mstsc.exe或远程协助build立远程桌面/terminal服务会话时会发生什么情况。
有人可能试图通过远程桌面使用用户名Administratorlogin到您的服务器,并试图猜测密码。
如果您要查看MY_SERVER上的安全事件日志,您将能够看到您聪明人来自哪个IP地址。
这也可能是一个天真的例子:“某人以pipe理员身份以100天前合法login,然后长时间断开会话连接,然后pipe理员密码被更改,现在空闲会话仍然以pipe理员身份重新进行身份validation使用旧密码“。