在过去的一个月左右,与我位于同一域中的计算机一直通过 kerberos 向我的计算机发送大量登录/注销请求。我的计算机每天收到大约 4,000 个请求。其中包括两个登录请求,然后是两个注销请求。请求之间唯一变化的是源端口,如下所示。我知道只需启用防火墙即可阻止这种情况,但在与此人对质之前,我试图弄清楚发生了什么的更多细节。
1)我知道这是一项自动化服务,但是有没有办法让我知道在目标机器而不是主机上初始化请求的进程名称是什么?
2)关于哪些程序可以做到这一点,有什么建议吗,以便我知道我在寻找什么?
以下是事件查看器中列出的数据示例:
Logon Type: 3
New Logon:
Security ID: $Domain\$User
Account Name: $User
Account Domain: $Domain
Logon ID: 0x1ca045c
Logon GUID: {698cd7b2-a521-4c52-0278-e363b08300ef} -
Network Information:
Workstation Name:
Source Network Address: --Removed--
Source Port: 51065
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0