大部分网络不受管理。防火墙设在外围,Unifi Wifi。没有其他实际可见性。Win SVR 2016。
事件查看器显示事件 ID 为 12294 的 60k+ 个事件:
“由于资源错误(例如硬盘写入失败,具体错误代码在错误数据中),SAM 数据库无法锁定管理员帐户。输入一定数量的错误密码后,帐户将被锁定,因此请考虑重置上述帐户的密码。”
我的理解是,这是当您尝试以管理员身份登录太多次但 AD 设置为不锁定管理员帐户时发生的事件。很好。但它没有列出失败登录尝试的来源,也没有任何网络管理工具、netflow/switch mgmt/等。我不确定如何追踪它。
防火墙没有显示任何过多的连接,Unifi(Wifi)没有显示任何过多的连接,服务器上的wireshark没有显示任何过多的连接。
答案1
Windows 事件查看器中的事件 ID 12294 通常对应于 NetBT(TCP/IP 上的 NetBIOS)错误。它可能表示计算机正在尝试充当主浏览器,但未赢得此角色的选举。
这是一个 PowerShell 脚本,可能有助于分析
# Define the Event Log parameters
$logName = 'Security'
$eventID = 12294
# Get events with the specified Event ID
$events = Get-WinEvent -LogName $logName -FilterHashtable @{Id=$eventID} -ErrorAction SilentlyContinue
# Process each event
foreach ($event in $events) {
$time = $event.TimeCreated
$source = $event.ProviderName
$message = $event.Message
# Check if message is not null before extracting information
if ($message -ne $null) {
# Extract relevant information from the message (adjust as needed)
$computerName = ($message -split 'Source Name:\s*')[1].Trim()
# Output information
Write-Output "Time: $time | Source: $source | Computer: $computerName"
}
else {
Write-Output "Time: $time | Source: $source | Computer: Unable to extract computer name"
}
}
更新:安装 sysmon 并制定一些好的规则可能也是一个好主意,这样就可以获得更详细的日志记录,包括正在建立的连接等等。 https://github.com/simeononsecurity/Automate-Sysmon
并创建一个名为管理员的帐户并禁用默认管理员。
答案2
在域控制器上打开 NTLM 审核,然后使用 Windows 日志 > NTLM > 操作日志来识别 NTLM 登录尝试的源 IP。