管理员帐户不断被锁定。无法追踪来源

管理员帐户不断被锁定。无法追踪来源

管理员帐户不断被锁定。事件日志和 Netlogon 日志确认帐户被锁定,但未提供源计算机名称(为空白)。请参阅以下来自事件日志和 Netlogon 日志的屏幕截图。我如何找到帐户锁定的来源?谢谢!

在此处输入图片描述在此处输入图片描述

答案1

我可以通过在本地安全策略下启用 NTLM 审核来解决此问题。(本地安全策略\本地策略\安全选项\限制 NTLM 审核)

看来攻击者正试图通过暴力破解 RDP 身份验证来获取访问权限。NTLM 向我提供了具有开放 RDP 访问权限的计算机的名称,我能够通过锁定它来解决问题。

答案2

运行 netmon 数据包捕获并将事件日志条目与捕获中的连接尝试关联起来。

相关内容