Determine qual aplicativo ou processo está fazendo a solicitação de autenticação

1

Eu tenho um servidor que faz solicitações de autenticação uma vez por minuto usando as credenciais de um administrador que saiu da organização. A conta está desativada. Eu fiz a varredura esperada de serviços para garantir que nenhum esteja sendo executado sob as credenciais de administrador em questão. Eu procurei no registro por uma conexão entre a conta de usuário e um processo, mas não encontrei nada. Qual é a melhor maneira de restringir o processo / aplicativo que está fazendo as solicitações de autenticação usando essa conta desativada? O Servidor em questão é configurado como um Agente do VMWare Horizon View Connection, que foi configurado originalmente pelo proprietário da conta desativada que fazia as chamadas de autenticação persistentes. Eu vejo as solicitações com falha no controlador de domínio. Eu posso capturar e revisar os pacotes via Wire Shark, mas não há informação de Application / Process lá. Como posso conectar as solicitações de autenticação a um processo?

    
por Igore 23.01.2017 / 21:23

1 resposta

0

Temos alguns scripts que executamos regularmente para capturar nossos CDs para bloqueios de contas. O evento de bloqueio geralmente mostra o IP de origem e o nome da fonte de autenticação com falha.

Como acompanhamento, os scripts tentam verificar o log de eventos da origem para uma tentativa de autenticação com falha. Fazer isso produz o Id do processo e geralmente o nome do processo que foi usado para autenticar.

Você diz que sabe de qual host as solicitações com falha estão sendo enviadas, portanto, você deve poder filtrar o log de eventos de segurança para eventos de "Falha de auditoria". Ver eventos que ocorrem a cada minuto pode levá-lo mais rapidamente a um evento que lhe dará o que você está procurando.

O problema é que às vezes é um processo genérico (por exemplo, svchost.exe). É aqui que o ID do processo é útil. O gerenciador de tarefas deve poder mostrar as informações de serviço para um ID de processo específico. Caso contrário, o procexp certamente o fará.

Lugares comuns para procurar (incluindo aqueles que você já mencionou) são:

  • Serviços
  • Tarefas agendadas
  • Sessões de terminal (geralmente sintomáticas por ocorrências periódicas)

EDITAR:

Minha resposta presume que a auditoria de evento de login com falha está habilitada por padrão, está em nosso ambiente. ativar a auditoria de eventos de login da conta

    
por 23.01.2017 / 22:11