Servidor do membro do domínio que causa falha contínua de login na conta do Administrador

Question

Servidor do membro do domínio que causa falha contínua de login na conta do Administrador

#1 resposta do (2 votos)

2

Um de nossos servidores membros do domínio continua produzindo falhas contínuas de login (capturadas no Visualizador de eventos por meio da Política de auditoria) quase a cada minuto. Aqui está um registro de falhas típico (nomes e IPs ofuscados):

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   529
Date:       11/10/2014
Time:       8:44:49 PM
User:       NT AUTHORITY\SYSTEM
Computer:   MY_SERVER
Description:
Logon Failure:
    Reason:     Unknown user name or bad password
    User Name:  Administrator
    Domain:     MY_DOMAIN
    Logon Type: 10
    Logon Process:  User32  
    Authentication Package: Negotiate
    Workstation Name:   MY_SERVER
    Caller User Name:   MY_SERVER$
    Caller Domain:  MY_DOMAIN
    Caller Logon ID:    (0x0,0x3E7)
    Caller Process ID:  2548
    Transited Services: -
    Source Network Address: 1.2.3.4
    Source Port:    42985


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

O que é frustrante é que não consigo controlar qual serviço / processo está causando isso. Qual é a melhor maneira de acompanhar isso?

login windows-server-2008 domain audit eventviewer

por miCRoSCoPiCeaRthLinG 10.11.2014 / 14:52

1 resposta

Tags login windows-server-2008 domain audit eventviewer

Como criar perfis de usuário antes de efetuar login pela primeira vez? Novidade em virtualização, novo hardware e Server 2012 Standard com função Hyper-v

score 2 · Answer 1

O Logon Tipo 10 é "Interativo Remoto", ou seja, o que acontece quando alguém tenta estabelecer uma sessão dos Serviços de Área de Trabalho Remota / Terminal com mstsc.exe ou Assistência Remota.

Alguém pode estar tentando fazer login em seu servidor pela Área de Trabalho Remota usando o nome de usuário Administrador e tentando adivinhar a senha.

Se você visualizasse os logs de eventos de segurança em MY_SERVER, seria possível ver de que endereço IP seu cara inteligente estava vindo.

Isso também poderia ser um caso inocente de "alguém legitimamente logado como Administrador há 100 dias, depois eles deixaram a sessão desconectada por um longo tempo, depois a senha do Administrador foi alterada e agora a sessão ociosa ainda está tentando reautenticar como administrador usando a senha antiga. "