我正在尝试追踪我们的某个域管理员帐户的密码不正确的计算机/设备,该帐户被用作共享/服务帐户。
我唯一知道的详细信息是域控制器上的事件查看器中重复发生的事件。该事件每 30 到 32 分钟重复发生一次。
安全,2018 年 4 月 11 日,下午 14:38:46,Microsoft-Windows-Security-Auditing,4776,信息,审核失败,凭据验证,ADMINDUDE,DC01.mydomain.com,IP:10.1.1.90,4776,计算机尝试验证帐户的凭据。身份验证包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 登录帐户:ADMINDUDE 源工作站:GS-821450430543CV 错误代码:0xc000006a
DNS、DHCP、Active Directory 中不存在此工作站 GS-821450430543CV 名称。这是事件日志中的真实工作站名称 - 我希望有人之前见过它,并且可以告诉我它是什么类型的设备。
在我们的一个域控制器上:我运行了 wireshark,并通过“编辑”>“查找数据包”>“字符串”搜索了此名称。我运行了 Sysinternals ProcMon 并搜索了捕获文件。我在 MS Message Analyser 中打开了捕获文件,但尚未弄清楚如何进行关键字搜索。
环境概述:Windows 2008R2 域控制器,主要是 Windows 客户端/服务器,一些 Linux 设备应用服务器,大约 200 台服务器,300 个工作站,20 台终端服务器。
当 ADMINDUDE 在 Windows 服务器上执行计划任务时,事件日志中会出现真实的工作站名称或 IP。即使在 Linux 设备上用作 LDAP 身份验证帐户,该事件也会向我们提供更多详细信息。
有没有关于如何找到这台“恶意”计算机的提示?有没有关于如何搜索我已获得的捕获数据的提示?
更新:运行了 Netlogon 调试(按照 JoeQwerty 的建议),现在我获得了更多信息。因此,现在我要从 Exchange 再次运行所有测试。
04/13 13:47:14 [LOGON] 域:SamLogon:从 GS-821450430543CV(通过 EXCHANGE)进入域\ADMINDUDE 的传递网络登录
04/13 13:47:14 [LOGON] 域:SamLogon:域\ADMINDUDE 的传递网络登录来自 GS-821450430543CV(通过 EXCHANGE)返回 0xC000006A
更新 2:找到了!在同一时间搜索 Exchange 上的审计失败事件日志,在事件的网络信息中显示了其 IP。这是Polycom它已经断网数月了,肯定有人最近把它重新插上了。