Des milliers de demandes d'ouverture de session / fermeture de session dans l'Observateur d'événements Windows à partir d'un autre ordinateur du même domaine


1

Depuis environ un mois, un ordinateur appartenant au même domaine que moi envoie des demandes de connexion / déconnexion à mon ordinateur via Kerberos. Je reçois environ 4 000 demandes sur mon ordinateur par jour. Cela inclut deux demandes d'ouverture de session, suivies de deux demandes de fermeture de session. La seule chose qui change entre les demandes est le port source, comme indiqué ci-dessous. Je sais que cela peut être arrêté en activant simplement mon pare-feu, mais j'essaie de comprendre un peu plus de détails sur ce qui se passe avant de confronter la personne à propos de l'activité.

1) Je comprends qu’il s’agit d’un service automatisé, mais j’ai un moyen de dire le nom du processus qui initialise les demandes sur la machine cible plutôt que sur la machine hôte?

2) Avez-vous des suggestions quant aux programmes susceptibles de le faire, afin que je sache ce que je recherche?

Vous trouverez ci-dessous un exemple des données répertoriées dans l'afficheur d'événements:

Logon Type:         3

New Logon:
    Security ID:        $Domain\$User
    Account Name:       $User
    Account Domain:     $Domain
    Logon ID:       0x1ca045c
    Logon GUID:     {698cd7b2-a521-4c52-0278-e363b08300ef}      -

Network Information:
    Workstation Name:   
    Source Network Address: --Removed--
    Source Port:        51065

Detailed Authentication Information:
    Logon Process:      Kerberos
    Authentication Package: Kerberos
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.