[請益] DC被client嘗試登入失敗

看板MIS (IT資訊人員)作者 (pose)時間3年前 (2021/01/22 09:02), 編輯推噓2(205)
留言7則, 5人參與, 3年前最新討論串1/1
各位先進好, 有個疑問想請各位確認一下, 最近公司有政策要在AD下派發當主機發生4625登入失敗事件時需要通知管理員的規則, 實作上已經完成了,這沒有問題, 但每天都會看到不特定主機會登入DC,但登入失敗產生4625事件的狀況, 從常理來說不合理,但還是要請教一下是否合理 我有試著在事件發生當下到client下netstat看port對應的pid, 但看到的是system(pid: 4)所發出的, 到這邊我就不知道怎麼追下去了… -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.11.70.113 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1611277324.A.E3B.html

01/22 12:49, 3年前 , 1F
看client的log
01/22 12:49, 1F

01/22 19:13, 3年前 , 2F
使用者電腦UID有沒有一樣
01/22 19:13, 2F

01/22 20:35, 3年前 , 3F
主要是不知道是哪隻程式在嘗試登入DC
01/22 20:35, 3F

01/22 20:35, 3年前 , 4F
使用者電腦確實有看到localhost to DC
01/22 20:35, 4F

01/22 20:36, 3年前 , 5F
但確實system發起
01/22 20:36, 5F

01/22 23:35, 3年前 , 6F
firewall擋掉3389後看log最快
01/22 23:35, 6F

02/01 11:36, 3年前 , 7F
網路磁碟機?
02/01 11:36, 7F
文章代碼(AID): #1W2YGCux (MIS)
文章代碼(AID): #1W2YGCux (MIS)