我有一台服务器使用已经离开组织的pipe理员的凭证,每分钟进行一次authentication请求。 该帐户已被禁用。 我已经做了预期的服务扫描,以确保没有任何问题的pipe理凭据下运行。 我已经在registry中search用户帐户和进程之间的连接,但什么也没find。 什么是最好的方式来缩小什么进程/应用程序使用这个禁用的帐户进行身份validation请求? 有问题的服务器被设置为VMWare Horizon View连接代理,该连接代理最初由现在被禁用的帐户的所有者进行持续authentication调用。 我在域控制器上看到失败的请求。 我可以通过Wire Shark捕获和查看数据包,但是没有应用程序/进程信息。 如何将身份validation请求连接到进程?
我们有几个脚本,我们经常运行,以刮我们的帐户locking区议会。 locking事件通常显示失败的validation源的源IP和名称。
作为一个后续的脚本尝试检查失败的authentication尝试来源的事件日志。 这样做会产生进程ID,通常是用于进行身份validation的进程名称。
你说你知道失败的请求来自哪个主机,所以你应该能够过滤安全事件日志中的“审计失败”事件。 看到每分钟都会发生的事件可能会使您更快速地发生事件,从而为您提供所需的信息。
问题是,有时它是一个通用的过程(例如svchost.exe)。 这是进程ID派上用场的地方。 任务pipe理器应该能够显示特定进程ID的服务信息。 如果不这样做, procexp肯定会。
常见的地方(包括你已经提到的)是:
编辑:
我的答案是假设login事件审计失败是默认启用的,它在我们的环境中。 启用帐户login事件的审计