我有一台服务器,它使用已离开组织的管理员的凭据每分钟发出一次身份验证请求。该帐户已被禁用。我已对服务进行了预期扫描,以确保没有服务在有问题的管理员凭据下运行。我在注册表中搜索了用户帐户和进程之间的连接,但一无所获。缩小使用此禁用帐户发出身份验证请求的进程/应用程序的最佳方法是什么?有问题的服务器设置为 VMWare Horizon View 连接代理,它最初由现已禁用的发出持续身份验证调用的帐户的所有者设置。我在域控制器上看到了失败的请求。我可以通过 Wire Shark 捕获和查看数据包,但那里没有应用程序/进程信息。如何将身份验证请求连接到进程?
答案1
我们定期运行一些脚本来抓取 DC 中的帐户锁定信息。锁定事件通常会显示失败身份验证源的源 IP 和名称。
作为后续操作,脚本尝试检查源的事件日志以查找失败的身份验证尝试。这样做会得到用于身份验证的进程 ID 和进程名称。
您说您知道失败的请求来自哪个主机,因此您应该能够过滤安全事件日志中的“审核失败”事件。查看每分钟发生的事件可能会让您更快地找到所需的事件。
问题是,有时它是一个通用进程(例如 svchost.exe)。这时进程 ID 就派上用场了。任务管理器应该能够显示特定进程 ID 的服务信息。如果做不到这一点,进程表达式一定会的。
常见的查看地点(包括您已经提到的地点)是:
- 服务
- 计划任务
- 终端会话(通常以周期性发生为症状)
编辑:
我的回答假设在我们的环境中默认启用失败登录事件审核。启用账户登录事件审计