我遇到了一个非常尴尬的情况。我想找到试图入侵的应用程序和/或 IP 地址。
我们有一个 WEB 服务器,在 2008R2 域上运行 IIS 7。我们(仍然)使用 NTLM。
分析 WEB 事件日志,我们发现多次系统性的登录尝试失败,使用字典和 NTLM 协议尝试获取服务器访问权限,结果域控制器也接收并记录了该尝试。
我已启动所有(我所知道的)活动日志,但是,没有任何应用程序记录该故障:检查随机事件 ID 4625,我发现一个唯一的用户名:“GOLF3723”,并在系统上的每个日志文件中对该词执行了文本搜索,但没有找到。
以下是正在搜索的地点:
"\\server\admin$\Logs"
"\\server\admin$\Tracing"
"\\server\admin$\System32\LogFiles"
"\\server\c$\inetpub\logs\LogFiles"
我也激活了NTLM 审计但事件日志中没有任何内容可以帮助我们识别失败的登录尝试。
有什么方法可以强制 NTLM 协议更加详细吗?还有其他方法可以找到罪魁祸首吗?