Durante o último mês, um computador que está no mesmo domínio que eu está enviando spam para meu computador com solicitações de logon / logoff via kerberos. Recebo ~ 4.000 solicitações no meu computador por dia. Isso inclui duas solicitações de logon, seguidas por duas solicitações de logoff. A única coisa que muda entre as solicitações é a porta de origem, conforme listado abaixo. Eu sei que isso pode ser interrompido simplesmente habilitando meu firewall, mas estou tentando descobrir mais alguns detalhes sobre o que está acontecendo antes de confrontar a pessoa sobre a atividade.
1) Eu entendo que este é um serviço automatizado, mas existe uma maneira de eu dizer qual é o nome do processo que está inicializando as solicitações na máquina de destino, em vez da máquina host?
2) Alguma sugestão sobre quais programas poderiam estar fazendo isso, então eu sei o que estou procurando?
Abaixo, uma amostra dos dados listados no visualizador de eventos:
Logon Type: 3
New Logon:
Security ID: $Domain\$User
Account Name: $User
Account Domain: $Domain
Logon ID: 0x1ca045c
Logon GUID: {698cd7b2-a521-4c52-0278-e363b08300ef} -
Network Information:
Workstation Name:
Source Network Address: --Removed--
Source Port: 51065
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0