Estou com problemas para configurar a Auditoria no servidor para detectar logins de rede com falha e êxito.
Esta manhã, encontramos uma de nossas máquinas de teste com um login estranho na tela bloqueada. Definitivamente, não é um usuário que existe em nosso domínio. O usuário que viu isso teve que reiniciar a máquina para fazer o login. Eu só descobri depois e não consegui ver a tela bloqueada. Fui solicitado a investigar, mas tudo o que encontrei no cliente afetado e no controlador de domínio foram entradas de log muito vagas:
Desde então, fiz algumas alterações. Na diretiva de controlador de domínio, ativei os eventos de logon da conta de auditoria e os eventos de logon de auditoria. source
Seguiu-se também um guia adicional do mesmo segmento que habilitei os Eventos de alteração do Active Directory
Aqui é onde estou ao verificar o Visualizador de Eventos no DC nos registros de segurança:
Com base nessa fonte , vejo que é por causa de uma senha incorreta. Mas não diz de onde foi o log-in, ou para qual máquina remota.
Se eu fornecer a senha correta, ela criará a ID de Evento 4768, informando que um tíquete de autenticação Kerberos foi solicitado, sem código de resultado. Nada nas seguintes entradas sobre o login bem-sucedido.
Como posso colocar isso em meus registros para que eu possa rastrear o problema, caso isso aconteça novamente no futuro?
Para resumir, preciso ver todas as tentativas de logon bem-sucedidas e malsucedidas na rede. Espero que eu seja capaz de restringir esses registros a um endereço IP de destino para mostrar apenas os logs referentes a uma máquina suspeita de ser violada. Isso é possível sem qualquer ferramenta / software adicional?