管理员帐户不断被锁定。事件日志和 Netlogon 日志确认帐户被锁定,但未提供源计算机名称(为空白)。请参阅以下来自事件日志和 Netlogon 日志的屏幕截图。我如何找到帐户锁定的来源?谢谢!
答案1
我可以通过在本地安全策略下启用 NTLM 审核来解决此问题。(本地安全策略\本地策略\安全选项\限制 NTLM 审核)
看来攻击者正试图通过暴力破解 RDP 身份验证来获取访问权限。NTLM 向我提供了具有开放 RDP 访问权限的计算机的名称,我能够通过锁定它来解决问题。
答案2
运行 netmon 数据包捕获并将事件日志条目与捕获中的连接尝试关联起来。