我们已禁用的管理员帐户凭据之一仍用于从一组其他服务器对某些 Windows 服务器执行(失败的)登录尝试。登录尝试是使用 Kerberos 身份验证进行的。
问题:如何在源服务器上识别负责这些尝试的脚本/应用程序?哪个日志源更可靠?我可以为特定用户名设置某种监听器吗?
目前,我已经在源服务器的事件查看器中进行调查,但找不到与我的问题相关的任何信息。
答案1
感谢另一篇文章ner0我已经能够使用以下命令的凭据来识别进程:
schtasks /query /v /fo csv > sched_tasks.csv