我们的一个域成员服务器几乎每分钟都会出现连续登录失败的情况(通过审核策略在事件查看器中捕获)。以下是典型的失败日志(名称和 IP 已模糊化):
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 11/10/2014
Time: 8:44:49 PM
User: NT AUTHORITY\SYSTEM
Computer: MY_SERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: Administrator
Domain: MY_DOMAIN
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
Workstation Name: MY_SERVER
Caller User Name: MY_SERVER$
Caller Domain: MY_DOMAIN
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 2548
Transited Services: -
Source Network Address: 1.2.3.4
Source Port: 42985
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
令人沮丧的是,我无法追踪导致此问题的服务/流程。追踪此问题的最佳方法是什么?
答案1
登录类型 10 是“远程交互”,即当有人尝试使用 mstsc.exe 或远程协助建立远程桌面/终端服务会话时发生的情况。
有人可能尝试使用用户名 Administrator 通过远程桌面登录您的服务器并试图猜测密码。
如果您查看 MY_SERVER 上的安全事件日志,您将能够看到您的聪明人来自哪个 IP 地址。
这也可能是一个无辜的案例,“某人 100 天前合法以管理员身份登录,然后他们长时间断开会话,然后管理员的密码被更改,现在空闲会话仍在尝试使用旧密码重新以管理员身份进行身份验证。”