我们的域控制器上有数千个 4776 事件。所有事件都显示 3 个工作站名称 - 随机且使用相同的用户帐户名称 - 我们的域名。
域控制器已启用 RDP,可从外部访问。看到这些警报后,我们更改了端口。但这些事件仍在继续。
关于如何追踪来源并修复此问题的任何建议。谢谢
答案1
这些事件表明使用 NTLM 登录,身份验证的来源将是事件中的“源工作站”。检查工作站以查看应用程序是否重复进行身份验证。您应该能够将提到的工作站脱机,并且不再看到这些事件。
我们的域控制器上有数千个 4776 事件。所有事件都显示 3 个工作站名称 - 随机且使用相同的用户帐户名称 - 我们的域名。
域控制器已启用 RDP,可从外部访问。看到这些警报后,我们更改了端口。但这些事件仍在继续。
关于如何追踪来源并修复此问题的任何建议。谢谢
这些事件表明使用 NTLM 登录,身份验证的来源将是事件中的“源工作站”。检查工作站以查看应用程序是否重复进行身份验证。您应该能够将提到的工作站脱机,并且不再看到这些事件。