Beaucoup d'audits d'échec: un compte n'a pas réussi à se connecter dans le journal de sécurité


8

J'ai reçu de nombreux audits d'échecs sur mon serveur. À partir du journal, j'ai identifié la machine particulière qui est le coupable. Comment puis-je identifier le processus qui envoie la demande de connexion?

Avez-vous une idée de comment le savoir?

Ci-dessous le détail du journal.

Journal de sécurité sur \ QKSRVDC212:

[2465151] Microsoft-Windows-Security-Auditing

    Type:     FAILURE AUDIT 

    Computer: QKSRVDC212.Corp.abc.com

    Time:     7/26/2012 9:31:00 AM   ID:       4625 

An account failed to log on.
  Subject:
    Security ID:        S-1-0-0
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0
  Logon Type:           3

  Account For Which Logon Failed:
    Security ID:        S-1-0-0
    Account Name:       Quality
    Account Domain:     QDMNT140

  Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

  Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

  Network Information:
    Workstation Name:   QDMNT140
    Source Network Address: 10.1.1.185
    Source Port:        3973

  Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

Réponses:


1

Sur le système source de connexion «QDMNT140», utilisez netstat -ano | findstr 3973pour voir quel processus a le port source correspondant «3973» ouvert. Remplacez 3973 par ce que le port change s'il n'est pas statique.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.