我一直在努力思考这个问题,但似乎找不到解决办法。我在这里和其他论坛上看到过很多类似的问题,但没有一个符合我的情况。所有其他帖子都有明确的来源、帐户和 IP 信息,但我的没有。这是大约每半小时出现一次的事件信息:
An account failed to log on.
Subject: Security ID: SYSTEM Account Name: CITY2012ESS$ Account Domain: CITYMAN Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain:
Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064
Process Information: Caller Process ID: 0x280 Caller Process Name: C:\Windows\System32\lsass.exe
Network Information: Workstation Name: CITY2012ESS Source Network Address: - Source Port: -
Detailed Authentication Information: Logon Process: Schannel Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0
登录请求失败时会生成此事件。该事件在尝试访问的计算机上生成。
如您所见,源上没有可用的帐户或网络信息。这让我认为它发生在服务器机器本身上,由某些服务引起。值得一提的是,此服务器无法通过外部互联网流量访问。服务器上没有交换,只有来自 Office365 的 AD 同步。所以我认为“攻击”一定来自本地网络内部,甚至来自本地机器内部。
有人可以解释一下这个问题吗?