Rất nhiều KIỂM TOÁN FAILURE: một tài khoản không thể đăng nhập vào các mục nhập trong Nhật ký bảo mật


8

Tôi đã nhận được rất nhiều kiểm toán thất bại trên máy chủ của mình. Từ nhật ký, tôi đã xác định được máy cụ thể là thủ phạm. Làm thế nào tôi có thể xác định quá trình nào đang gửi yêu cầu đăng nhập?

Bạn có bất cứ ý tưởng làm thế nào để tìm hiểu?

Dưới đây là chi tiết của nhật ký.

Nhật ký bảo mật trên \ QKSRVDC212:

[2465151] Microsoft-Windows-Security-Auditing

    Type:     FAILURE AUDIT 

    Computer: QKSRVDC212.Corp.abc.com

    Time:     7/26/2012 9:31:00 AM   ID:       4625 

An account failed to log on.
  Subject:
    Security ID:        S-1-0-0
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0
  Logon Type:           3

  Account For Which Logon Failed:
    Security ID:        S-1-0-0
    Account Name:       Quality
    Account Domain:     QDMNT140

  Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

  Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

  Network Information:
    Workstation Name:   QDMNT140
    Source Network Address: 10.1.1.185
    Source Port:        3973

  Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Câu trả lời:


1

Trên hệ thống nguồn đăng nhập 'QĐMNT140' sử dụng netstat -ano | findstr 3973để xem quy trình nào có cổng nguồn phù hợp '3973' mở. Thay thế 3973 bằng bất cứ điều gì cổng thay đổi thành nếu nó không tĩnh.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.