追踪事件 4771 的来源:Kerberos 预身份验证失败

追踪事件 4771 的来源:Kerberos 预身份验证失败

远程服务器上的某个进程正在为特定用户帐户生成失败的登录尝试。我想知道它是什么进程。

用户更改密码后,相关帐户立即开始生成这些错误密码尝试(4771,失败代码:0x18)。我假设某些实用程序、服务或应用程序正在使用缓存的凭据尝试连接到域。但我无法追踪该过程。

我启用了审计进程跟踪(进程创建、终止等),但是在记录登录失败时没有启动相应的进程。

没有与事件 4771 关联的进程名称或 ID。我唯一知道的是一个关联端口。但该端口是任意的(即动态的),并且每个记录的事件都不同。

登录失败是间歇性的,大约每 2-5 小时一次,因此长时间运行 procmon 并不是特别实用,但这可能是我唯一的选择(如果您愿意,可以使用蛮力方法)。 有没有更好的方法?

答案1

这很棘手,尤其是因为 Windows 的 4771 事件不包含登录 ID。考虑到 Windows 记录的事件数量,追踪此事件的难度令人吃惊。

您查看过计划任务吗?

我建议使用进程监控,但只启用网络活动监控。我认为您也可以通过减少历史记录深度(选项 - 历史记录深度)来减少对系统性能的影响。如果您将事件与进程监控的输出关联起来,您就会发现哪个进程是罪魁祸首。

相关内容