- identificando a fonte
- se você executar tcpview / tcpvcon na estação de trabalho, ele poderá ajudar, já que mostra quais processos estão conectados para hosts remotos
- você pode bloquear a conexão IP da estação de trabalho com a porta TCP LDAP usando as regras de firewall, mas provavelmente cobrirá os sintomas e não resolverá o problema de origem. especialmente bloqueando as consultas do ldap, suas estações de trabalho não poderão resolver nenhuma solicitação de caso legítima (os usuários não poderão pesquisar no diretório ativo, quaisquer serviços / programas que precisem pesquisar objetos no diretório ativo falharão, etc)
se você não suspeitar de nenhum software específico instalado na estação de trabalho, execute uma varredura antivírus offline nessa estação de trabalho