我今天浏览了我的安全审计日志,注意到一些用户有540个login成功,然后是538个快速注销(我的意思是用户在login后的1到30秒之间login)。
有一个特别的,我很好奇,主要是因为我知道用户在度假,不会login到他们的电脑。
一些重要的笔记
– 用户正在休假,身份validation来自办公室的工作站
– 他们的工作站被留下
– 用户可以通过RDP直接连接到他们的工作站
– 这个用户有一个助理,可以访问很多这些用户的东西(Outlook,networking密码等)
– 这个用户电脑过去曾经有一个病毒,我相信我们已经清理了(Malwarebytes显示干净,HiJackThis日志看起来干净,他们的计算机上运行的是杀毒软件)。 清理病毒后,我们让用户更改密码
我的问题是,什么可能导致我的networking快速login/注销? 任何有识之士将不胜感激!